Prévia do material em texto
REDES CISCO
Guía de estudio para la certificación
CCNA 200-301
Ernesto Ariganello
La ley prohíbe
fotocopiar este libro
Guía de estudio para la certificación CCNA 200-301
© Ernesto Ariganello
© De la edición: Ra-Ma 2020
MARCAS COMERCIALES. Las designaciones utilizadas por las empresas para distinguir sus
productos (hardware, software, sistemas operativos, etc.) suelen ser marcas registradas. RA-MA ha
intentado a lo largo de este libro distinguir las marcas comerciales de los términos descriptivos,
siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del
propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique
lo contrario.
RA-MA es marca comercial registrada.
Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. Sin embargo,
RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier
violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Esta publicación tiene
por objeto proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no
supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. En caso
de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un
profesional competente.
Reservados todos los derechos de publicación en cualquier idioma.
Según lo dispuesto en el Código Penal vigente, ninguna parte de este libro puede ser reproducida,
grabada en sistema de almacenamiento o transmitida en forma alguna ni por cualquier procedimiento,
ya sea electrónico, mecánico, reprográfico, magnético o cualquier otro sin autorización previa y por
escrito de RA-MA; su contenido está protegido por la ley vigente, que establece penas de prisión y/o
multas a quienes, intencionadamente, reprodujeren o plagiaren, en todo o en parte, una obra literaria,
artística o científica.
Editado por:
RA-MA Editorial
Calle Jarama, 3A, Polígono Industrial Igarsa
28860 PARACUELLOS DE JARAMA, Madrid
Teléfono: 91 658 42 80
Fax: 91 662 81 39
Correo electrónico: editorial@ra-ma.com
Internet: www.ra-ma.es y www.ra-ma.com
ISBN: 978-84-9964-930-6
Depósito legal: En trámite, segundo trimestre 2020
Maquetación: Antonio García Tomé
Diseño de portada: Antonio García Tomé
Filmación e impresión: Safekat
Impreso en España en mayo de 2020
El conocimiento es poder. La información es liberadora.
La educación es la premisa del progreso,
en toda sociedad, en toda familia.
Kofi Annan
ÍNDICE
INTRODUCCIÓN 19
1. INTRODUCCIÓN A LAS REDES 23
1. CONCEPTOS BÁSICOS 23
2. MODELO DE REFERENCIA OSI 24
1. Descripción de las siete capas 26
3. FUNCIONES DE LA CAPA FÍSICA 27
1. Dispositivos de la capa física 28
2. Estándares de la capa física 28
3. Medios de la capa física 29
4. Medios inalámbricos 32
5. Topologías 33
4. FUNCIONES DE LA CAPA DE ENLACE DE DATOS 33
1. Dispositivos de capa de enlace de datos 34
2. Características de las redes conmutadas 37
5. FUNCIONES DE LA CAPA DE RED 37
1. Dirección de capa tres 38
2. Comparación entre IPv4 e IPv6 39
3. Operación AND 40
4. Dispositivos de la capa de red 40
6. FUNCIONES DE LA CAPA DE TRANSPORTE 43
7. MODELO TCP/IP 43
1. Protocolos de capa de aplicación 45
2. Protocolos de capa de transporte 45
3. Números de puertos 47
4. Protocolos de capa de Internet 48
8. ETHERNET 48
1. Dominio de colisión 49
2. Dominio de difusión 49
3. CSMA/CD 51
4. Operación dúplex 52
5. Formato básico de una trama Ethernet 52
6. Proceso de encapsulación de los datos 53
9. MODELO JERÁRQUICO 55
1. Capa de acceso 56
2. Capa de distribución 57
3. Capa de núcleo 57
10. MODELO DE CORE COLAPSADO 58
11. PROCEDIMIENTOS BÁSICOS DE TROUBLESHOOTING 59
12. CASO PRÁCTICO 61
1. Prueba de conectividad TCP/IP 61
13. FUNDAMENTOS PARA EL EXAMEN 63
2. DIRECCIONAMIENTO IP 65
1. NÚMEROS BINARIOS 65
1. Conversión de binario a decimal 66
2. Conversión de decimal a binario 67
2. NÚMEROS HEXADECIMALES 67
1. Conversión de números hexadecimales 68
3. DIRECCIONAMIENTO IPV4 69
1. Tipos de direcciones IPv4 70
2. Tipos de comunicación IPv4 70
4. CLASES DE DIRECCIONES IPV4 71
1. Direcciones reservadas IPv4 72
2. Subredes 73
3. Procedimiento para la creación de subredes 74
5. ESCALABILIDAD DEL DIRECCIONAMIENTO IPV4 79
1. Máscaras de subred de longitud variable 79
2. Enrutamiento entre dominios sin clase 82
3. Resumen de ruta 83
6. DIRECCIONAMIENTO IPV6 85
1. Formato del direccionamiento IPv6 86
2. Prefijos 87
3. Cabecera IPv6 88
7. TIPOS DE DIRECCIONAMIENTO IPV6 89
1. Global-Unicast 90
2. Link-Local 91
3. Unique-Local 92
4. Multicast 92
5. Anycast 94
6. EUI-64 94
7. Asignación de direcciones IPv6 96
8. TRANSICIÓN DE IPV4 A IPV6 96
1. Dual Stack 96
2. Túneles 97
3. Traducción 98
9. FUNDAMENTOS PARA EL EXAMEN 99
3. CONMUTACIÓN 101
1. CONMUTACIÓN DE CAPA 2 101
2. CONMUTACIÓN CON SWITCH 102
1. Tecnologías de conmutación 103
2. Aprendizaje de direcciones 103
3. Medios del switch 105
3. SPANNING TREE PROTOCOL 106
1. Bucles de capa 2 107
2. Solución a los bucles de capa 2 107
3. Proceso STP 108
4. Estado de los puertos STP 109
4. RAPID SPANNING TREE PROTOCOL 110
5. PER-VLAN SPANNING TREE 111
6. REDES VIRTUALES 112
7. PUERTOS DE ACCESO Y TRONCALES 113
1. Etiquetado de trama 113
8. VLAN TRUNKING PROTOCOL 115
1. Modos de operación VTP 115
2. Recorte VTP 117
9. FUNDAMENTOS PARA EL EXAMEN 118
4. CONFIGURACIÓN DEL SWITCH 119
1. OPERATIVIDAD DEL SWITCH 119
2. INSTALACIÓN INICIAL 120
1. Conectándose por primera vez 121
2. Leds indicadores de estado 123
3. Comandos ayuda 124
4. Comandos de edición 125
3. CONFIGURACIÓN INICIAL 126
1. Asignación de nombre y contraseñas 126
2. Contraseñas de consola y telnet 127
3. Asignación de dirección IP 128
4. Configuración de puertos 129
5. PoE 130
4. CONFIGURACIÓN AVANZADA 133
1. Seguridad de acceso 133
2. Mensajes o banners 134
3. Configuración de PoE 135
4. Etherchannel 136
5. Stackwise 140
6. Configuración de SSH 142
7. Guardar la configuración 143
8. Borrado de las memorias 146
9. Copia de seguridad del IOS 147
5. RECUPERACIÓN DE CONTRASEÑAS 148
6. CONFIGURACIÓN DE VLAN 150
1. Proceso de configuración de VLAN 151
2. Eliminación de VLAN 152
3. Verificación de VLAN 153
4. Configuración de la interfaz SVI 153
7. CONFIGURACIÓN DEL ENLACE TRONCAL 154
1. Configuración de VLAN nativa 155
2. Dynamic Trunking Protocol 156
3. Enrutamiento entre VLAN 157
8. CONFIGURACIÓN DE STP 158
1. PortFast y BPDU Guard 159
9. CONFIGURACIÓN DE VTP 160
10. CASO PRÁCTICO 162
1. Configuración de VLAN 162
2. Configuración del troncal en el router 163
11. FUNDAMENTOS PARA EL EXAMEN 163
5. CONCEPTOS DE ENRUTAMIENTO 165
1. DETERMINACIÓN DE RUTAS IP 165
1. Distancia administrativa 166
2. Métricas 167
2. ENRUTAMIENTO ESTÁTICO 168
1. Rutas estáticas por defecto 169
2. Rutas estáticas flotantes 170
3. Rutas locales 171
3. ENRUTAMIENTO DINÁMICO 173
1. Clases de protocolos de enrutamiento 173
2. Sistema autónomo 174
4. ENRUTAMIENTO VECTOR DISTANCIA 174
5. BUCLES DE ENRUTAMIENTO 175
1. Solución a los bucles de enrutamiento 176
2. Horizonte dividido 176
3. Métrica máxima 176
4. Envenenamiento de rutas 177
5. Temporizadores de espera 177
6. ENRUTAMIENTO ESTADO DE ENLACE 177
1. Vector distancia Vs Estado de enlace 179
7. FUNDAMENTOS PARA EL EXAMEN 181
6. CONFIGURACIÓN DEL ROUTER 183
1. OPERATIVIDAD DEL ROUTER 183
1. Componentes principales de un router 184
2. Tipos de interfaces 185
3. WAN y routers 185
2. INSTALACIÓN INICIAL 187
1. Conectándose por primera vez 187
2. Rutinas de inicio 188
3. Comandos ayuda 189
4. Comandos de edición 191
3. CONFIGURACIÓN INICIAL 191
1. Comandos show 193
2. Asignación de nombre y contraseñas 195
3. Contraseñas de consola, auxiliar y telnet 196
4. Configuración de interfaces 197
4. CONFIGURACIÓN AVANZADA 200
1. Seguridad de acceso 200
2. Mensajes o banners 201
3. Configuración de SSH 202
4. Resolución de nombre de host 204
5. Guardar la configuración 206
6. Borrado de las memorias 209
7. Copiade seguridad del Cisco IOS 209
8. Preferencia de carga del Cisco IOS 211
9. Registro de configuración 212
5. CONFIGURACIÓN DE IPV6 214
1. Dual-Stack 214
2. Configuración estática unicast 215
3. Configuración dinámica unicast 216
4. Configuración Link-Local 217
6. RECUPERACIÓN DE CONTRASEÑAS 218
1. Protección adicional de archivos y contraseñas 219
7. PROTOCOLOS DE DESCUBRIMIENTO 220
1. CDP 220
2. Configuración 221
3. Verificación 222
4. LLDP 224
5. Configuración 224
6. Verificación 225
8. DHCP 226
1. Configuración del servidor DHCP 227
2. Configuración de un cliente DHCP 229
3. Configuración de DHCP Relay 229
9. ICMP 229
1. Ping 230
2. TTL 231
3. Traceroute 232
10. NTP 233
1. Configuración del servidor 234
2. Configuración del cliente 234
3. Configuración zona horaria y horario de verano 235
11. FHRP 235
1. HSRP 235
2. VRRP 242
3. GLBP 245
12. CASO PRÁCTICO 251
1. Configuración de usuario y contraseña 251
2. Configuración de una interfaz FastEthernet 252
3. Configuración de una interfaz Serie 253
4. Configuración de una tabla de host 253
5. Configuración dual-stack 253
6. Configuración dual-stack con túnel 256
13. FUNDAMENTOS PARA EL EXAMEN 259
7. REDES INALÁMBRICAS 261
1. REDES WLAN 261
1. Topologías WLAN 262
2. Funcionamiento de un AP 264
3. Celdas WLAN 266
4. Radiofrecuencia en WLAN 268
5. Estándares WLAN 269
2. ARQUITECTURA WLAN 270
1. Cisco Wireless Architectures 271
2. Funciones de los WLC y LAP 274
3. DISEÑO DE WLAN 275
4. SEGURIDAD WLAN 277
1. WEP 278
2. Métodos de seguridad EAP 278
3. WPA 279
4. WPA2 280
5. WPA3 280
5. CASO PRÁCTICO 281
1. Configuración de una WLAN 281
6. FUNDAMENTOS PARA EL EXAMEN 290
8. SEGURIDAD 291
1. PRINCIPIOS DE SEGURIDAD 291
1. Virus 291
2. Gusanos 292
3. Troyanos 292
4. Mitigación de virus, gusanos y troyanos 293
2. SEGURIDAD EN LA RED 294
1. Ataques de reconocimiento 296
2. Ataques de acceso 297
3. Ataques de denegación de servicio 297
4. Mitigación de ataques de red 298
3. FIREWALLS 301
1. Características de los firewalls 301
2. Diseño de redes con firewalls 302
3. Tipos de firewall 304
4. NGFW 306
5. IPS 307
1. Firmas IPS 309
6. NGIPS 309
7. AAA 311
1. RADIUS y TACACS+ 311
2. Configuración AAA local y basada en servidor 313
3. Verificación AAA 314
8. DHCP SNOOPING 315
9. SEGURIDAD DE PUERTOS 317
10. AUTENTICACIÓN BASADA EN PUERTO 320
1. Configuración de 802.1X 321
11. LISTAS DE ACCESO 323
1. Prueba de las condiciones de una ACL 324
12. TIPOS DE LISTAS DE ACCESO 325
1. Listas de acceso estándar 325
2. Listas de acceso extendidas 325
3. Listas de acceso con nombre 325
13. APLICACIÓN DE LAS ACL 326
1. ACL para tráfico entrante 326
2. ACL para tráfico saliente 327
14. MÁSCARA COMODÍN 327
15. PROCESO DE CONFIGURACIÓN DE LAS ACL NUMERADAS 329
1. Configuración de ACL estándar 329
2. Configuración de ACL extendida 330
3. Configuración de una ACL en la línea de telnet 332
4. Mensajes de registro en las ACL 332
5. Comentarios en las ACL 333
16. LISTAS DE ACCESO IP CON NOMBRE 333
1. Configuración de una lista de acceso nombrada 334
17. ELIMINACIÓN DE LAS ACL 334
18. LISTAS DE ACCESO IPV6 334
19. OTROS TIPOS DE LISTAS DE ACCESO 336
1. Listas de acceso dinámicas 336
2. Listas de acceso reflexivas 336
3. Listas de acceso basadas en tiempo 336
20. PUERTOS Y PROTOCOLOS MÁS UTILIZADOS EN LAS ACL 337
1. Puertos TCP 337
2. Puertos UDP 338
3. Protocolos 339
21. VERIFICACIÓN DE LAS ACL 339
22. CASO PRÁCTICO 342
1. Cálculo de wildcard 342
2. Configuración de una ACL estándar 342
3. Configuración de una ACL extendida 343
4. Configuración de una ACL con subred 344
5. Configuración de una ACL nombrada 344
6. Modificación de una ACL IPv6 345
23. FUNDAMENTOS PARA EL EXAMEN 346
9. CONFIGURACIÓN DE ENRUTAMIENTO 349
1. ENRUTAMIENTO ESTÁTICO 349
1. Enrutamiento estático IPv4 349
2. Rutas estáticas por defecto 351
3. Red de último recurso 352
4. Enrutamiento estático IPv6 353
2. ENRUTAMIENTO DINÁMICO 353
3. RIP 354
4. RIPNG 356
5. EIGRP 357
1. Métrica 358
2. DUAL 359
3. Queries 360
4. Actualizaciones 361
5. Tablas 361
6. Equilibrado de carga desigual 362
6. CONFIGURACIÓN DE EIGRP 362
1. Intervalos hello 363
2. Filtrados de rutas 364
3. Redistribución estática 364
4. Equilibrado de carga 364
5. Router Stub 365
6. Autenticación 365
7. Verificación 366
7. EIGRPV6 367
1. Configuración 367
2. Verificación 369
8. OSPF 370
1. Métrica 371
2. Tablas 372
3. Mantenimiento de la base de datos 372
4. Relación de vecindad 373
5. Router designado 374
9. TOPOLOGÍAS OSPF 375
1. Multiacceso con difusión 375
2. NBMA 376
3. Punto a punto 376
10. CONFIGURACIÓN DE OSPF EN UNA SOLA ÁREA 377
1. Elección del DR y BDR 378
2. Cálculo del coste del enlace 379
3. Autenticación OSPF 379
4. Administración del protocolo Hello 380
11. OSPF EN MÚLTIPLES ÁREAS 380
1. Tipos de router 381
2. Virtual Links 382
3. Verificación 383
12. OSPFV3 384
1. Configuración 385
2. Verificación 385
13. BGP 387
1. Configuración básica 389
2. Verificación 390
14. CASO PRÁCTICO 391
1. Configuración de EIGRP 391
2. Configuración de filtro de ruta 393
3. Configuración de redistribución estática 393
4. Configuración de OSPF en una sola área 394
5. Configuración de OSPF en múltiples áreas 396
6. Configuración básica de OSPFv3 397
7. Configuración básica de BGP 399
15. FUNDAMENTOS PARA EL EXAMEN 400
10. CALIDAD DE SERVICIO 401
1. CONVERGENCIA DE RED 401
1. Ancho de banda disponible 402
2. Retraso de extremo a extremo 403
3. Variación del retraso 403
4. Pérdida de paquetes 403
5. Comparativa del tipo de tráfico 405
2. ADMINISTRACIÓN DE LA CONGESTIÓN 406
1. FIFO 408
2. WFQ 409
3. CBWFQ 410
4. LLQ 410
3. QoS 411
1. Identificación del tráfico y sus requerimientos 411
2. Clasificación del tráfico 412
3. Definición de políticas para cada clase 412
4. MODELOS DE QoS 413
1. Best-effort 413
2. IntServ 413
3. DiffServ 414
5. CLASIFICACIÓN Y MARCADO DE TRÁFICO 415
1. Marcado en capa 2 415
2. Marcado de capa 3 416
6. FRONTERAS DE CONFIANZA 417
7. WRED 418
8. ACUERDOS DE NIVEL DE SERVICIO 419
9. CONTROL Y MANIPULACIÓN DEL TRÁFICO 420
10. FUNDAMENTOS PARA EL EXAMEN 421
11. REDES DE ÁREA AMPLIA 423
1. WAN 423
1. Topologías 423
2. Conectividad 425
3. Terminología 426
4. Estándares de capa 1 427
5. Estándares de capa 2 427
6. Interfaces 428
2. PPP 430
1. Establecimiento de la conexión 431
2. Autenticación PAP 431
3. Configuración PPP con PAP 432
4. Autenticación CHAP 432
5. Configuración PPP con CHAP 433
6. Verificación 433
3. PPPoE 434
1. Fases 435
2. Tamaño MTU 435
3. Verificación 436
4. MULTILINK PPP 438
1. Configuración 438
2. Verificación 439
5. NAT 440
1. Terminología NAT 441
2. Configuración estática 441
3. Configuración dinámica 441
4. Configuración de PAT 442
5. Verificación 443
6. VPN 443
1. Funcionamiento 444
2. IPSec 445
3. SSL VPN 446
4. Túnel GRE 446
5. Configuración de túnel GRE 447
7. OTRAS TECNOLOGÍAS DE ACCESO WAN 448
1. Metro Ethernet 448
2. DMVPN 449
3. MPLS 450
4. DSL 451
8. CASO PRÁCTICO 452
1. Configuración PPP con CHAP 452
2. Configuración de NAT dinámico 453
3. Configuración de una VPN de router a router 454
9. FUNDAMENTOS PARA EL EXAMEN 457
12. ADMINISTRACIÓN Y GESTIÓN 459
1. SNMP 459
1. Configuración 460
2. Verificación 462
2. SYSLOG 463
1. Configuración de logging 465
3. NOMBRE DEL CISCO IOS 466
1. Activación y licencias del IOS 468
4. IP SLA 470
1. Configuración 471
2. Verificación 471
5. SPAN 473
6. SERVICIOS EN LA NUBE 475
1. Modelos de nubes 476
7. VIRTUALIZACIÓN 477
1. Hypervisor 478
2. Virtualización de la red 479
8. CASO PRÁCTICO 480
1. Activación de licencia 480
2. Configuración de IP SLA 484
9. FUNDAMENTOS PARA EL EXAMEN 485
13. AUTOMATIZACIÓN DE LA RED 487
1. SDN 487
1. Arquitectura SDN 487
2. Arquitectura SDN 488
3. Tipos de SDN 490
4. Southbound y Northbound API 490
2. CISCO SDA 492
1. Túneles VxLAN 494
2. LISP 495
3. CISCO DNA CENTER 497
1. REST 500
2. JSON 504
3. HERRAMIENTAS DE GESTIÓN 507
4. CISCO ACI 512
5. CISCO APIC-EM 513
1. Análisis de ACL con APIC-EM 514
6. FUNDAMENTOS PARA EL EXAMEN 515
ÍNDICE ALFABÉTICO 517
INTRODUCCIÓNDesde que Cisco Systems inicio su carrera de certificaciones en 1990 el
CCNA (Cisco Certified Network Associate) ha sido una de las certificaciones
más codiciadas y requeridas por las mejores empresas del mercado y a su vez
la puerta de acceso a la ruta de certificaciones profesionales de Cisco. A
partir de febrero de 2020 el sistema de certificaciones ha sufrido cambios en
su estructura de jerarquías, desaparece la certificación CCENT como
certificación de inicio y el abanico de certificaciones CCNA se funden en un
solo examen, pasando a ser el examen CCNA 200-301 la certificación inicial.
Los contenidos de los capítulos de este libro se basan en temario expuesto por
Cisco para el examen CCNA 200-301 y pueden resumirse en seis puntos
fundamentales:
1. Fundamentos de networking
2. Acceso a la red
3. Conectividad IP
4. Servicios IP
5. Fundamentos de seguridad
6. Automatización y programabilidad
Este libro representa una herramienta de apoyo y de autoestudio para el
aprendizaje de los tópicos y requisitos necesarios para lograr la certificación
CCNA 200-301, se ha intentado volcar todo el contenido requerido por Cisco
para el examen CCNA 200-301 de manera resumida, concreta y lo más
práctica posible, sin embargo los conceptos siempre pueden ser subjetivos
por lo que otros temas relacionados también pueden aparecer en cualquier
entrega específica de la prueba.
El libro tiene un formato secuencial y lógico de tal manera que permite seguir
todos los temas en orden ascendente según el criterio del autor, cuyo orden
puede ser diferente al del Cisco, pero no en los conceptos. Siendo importante
que el alumno asimile y ejercite los contenidos de cada capítulo antes de
seguir adelante con el siguiente. Estas características ayudan a la
comprensión de los temas presentados de manera resumida pero detallada
con explicaciones, notas y llamadas para permitir que el lector recuerde lo
fundamental y concreto a la hora de presentarse al examen de certificación.
Los casos prácticos se han realizados con dispositivos reales siendo
recomendable que el lector los realice en también equipos reales o en
simuladores para su completa comprensión y análisis. Es muy importante el
manejo fluido y el conocimiento práctico de los comandos de routers y
switchs debido a que en el examen aparecen ejercicios prácticos a partir de
simuladores. Tome en cuenta que el examen de certificación no solo evalúa
los conocimientos teóricos, sino que también las habilidades y requisitos
prácticos del candidato.
Es recomendable, además, que el estudiante realice la mayor cantidad de test
de preguntas posible, existen muchos sitios y foros en internet con exámenes
similares al de la certificación CCNA 200-301. En esta edición se ha omitido
el apéndice con preguntas de entrenamiento para el examen, que traían las
ediciones anteriores, debido al gran volumen de preguntas y porque siempre
estarán más actualizadas y vigentes online en internet.
Para mayor información respecto a la duración del examen, idiomas
disponibles, tiempo de validez, recertificaciones u otro tipo de consulta sobre
la certificación CCNA 200-301 es posible consultar la Web de Cisco en:
https://www.cisco.com/c/en/us/training-events/training-
certifications/exams/current-list/ccna-200-301.html
También puede obtener información adicional, material complementario y
preguntas de entrenamiento en: www.aprenderedes.com
Para información sobre localización de centros de certificación autorizados,
requisitos, horarios, precios u otro tipo de información puede consultarse la
Web de Pearson-Vue en: http://www.vue.com
Acerca del autor
Ernesto Ariganello es instructor certificado de la Cisco Networking Academy,
imparte cursos relacionado con redes y comunicaciones. Especialista
hardware de alta complejidad. Posee certificaciones de Cisco, como CCNA,
CCNP, IINS, CCAI, etc. Es, además, consultor especializado en
telecomunicaciones para varias empresas de la Unión Europea. Su trabajo en
educación y formación es sumamente valorado en Europa y Latinoamérica,
fundamentado en clases claras, dinámicas y muy prácticas, en muchos
centros de formación y empresas.
Desde el año 2006, su obra de la serie REDES CISCO, Guía de estudio para
la certificación CCNA y posteriormente la Guía de estudio para la
certificación CCNP son reconocidas como las pioneras con contenidos
escritos íntegramente en español.
Advertencia
Se ha realizado el máximo esfuerzo para hacer de este libro una obra tan
completa y precisa como sea posible, pero no se ofrece ninguna garantía
implícita de adecuación a un fin en particular. La información se suministra
“tal como está”. Los autores no serán responsables ante cualquier persona o
entidad con respecto a cualquier pérdida, daño o perjuicio que pudieran
resultar emergentes de la información contenida en este libro.
Todos los términos mencionados en este libro que, según consta, pertenecen a
marcas comerciales o marcas de servicios, se utilizan únicamente con fines
educativos. No debe considerarse que la utilización de un término en este
libro afecte la validez de cualquier marca comercial o de servicio.
Los conceptos, opiniones y gráficos expresados en este libro por los autores
no son necesariamente los mismos que los de Cisco Systems, Inc.
Los iconos y topologías mostradas en este libro se ofrecen con fines de
ejemplo y no representan necesariamente un modelo de diseño para redes.
Las configuraciones y salidas de los routers, switches y/o cualquier otro
dispositivo se han tomado de equipos reales y se ha verificado su correcto
funcionamiento. No obstante, cualquier error en la transcripción es
absolutamente involuntario.
1
INTRODUCCIÓN A LAS REDES
CONCEPTOS BÁSICOS
Antes de comenzar la lectura de este libro el estudiante debe tener claros
ciertos conceptos que harán posible la mejor comprensión de cada uno de los
temas descritos en estas páginas. Esta guía de estudio apunta principalmente
a la certificación CCNA, profundizando en el temario cada vez más en cada
capítulo. Estos primeros párrafos servirán como base a todo lo que sigue
posteriormente.
Las infraestructuras de red pueden variar dependiendo del tamaño del área,
del número de usuarios conectados y del número y los diferentes tipos de
servicios disponibles. Además del dispositivo final, hay otros componentes
que hacen posible que se establezca el enlace entre los dispositivos de origen
y destino. Dos de los componentes críticos en una red de cualquier tamaño
son el router y el switch, el funcionamiento y configuración de ambos se
detallarán en los capítulos siguientes.
Todos los tipos de mensajes se tienen que convertir a bits, señales digitales
codificadas en binario, antes de enviarse a sus destinos. Esto es así sin
importar el formato del mensaje original. Generalmente, las redes utilizan
diferentes tipos de medios para proporcionar conectividad. Ethernet es la
tecnología de red más común en la actualidad. Las redes cableadas son
ideales para transmitir gran cantidad de datos a altas velocidades. Las redes
inalámbricas permiten el uso de dispositivos conectados a la red en cualquier
lugar de una oficina o casa, incluso en el exterior.
Las redes LAN (Local Area Network) y las redes WAN (Wide Area
Network), conectan a los usuarios dentro y fuera de la organización. Permiten
gran cantidad y diversos tipos de comunicación.
Sin embargo, los aspectos más importantes de las redes no son los
dispositivos ni los medios, sino los protocolos que especifican la manera en
que se envían los mensajes, cómo se direccionan a través de la red y cómo se
interpretan en los dispositivos de destino.
MODELO DE REFERENCIA OSI
A principios de los años ochenta los fabricantes informáticos más
importantes de la época se reúnen para unificar diferencias y recopilar la
mayor información posible acerca de cómo poder integrar sus productos
hasta el momento no compatibles entre sí y exclusivos para cada uno de ellos.
Como resultado de este acuerdo surge el modelo de referencia OSI, que sigue
los parámetros comunes de hardware y softwarehaciendo posible la
integración multifabricante.
El modelo OSI (Open System Interconnection, no confundir con ISO) divide
a la red en diferentes capas con el propósito de que cada desarrollador trabaje
específicamente en su campo sin tener necesidad de depender de otras áreas.
Un programador crea una aplicación determinada sin importarle cuáles serán
los medios por los que se trasladarán los datos, inversamente un técnico de
comunicaciones proveerá comunicación sin importarle qué datos transporta.
7 Aplicación
6 Presentación
5 Sesión
4 Transporte
3 Red
2 Enlace de datos
1 Física
Las siete capas del modelo OSI
En su conjunto, el modelo OSI se compone de siete capas bien definidas que
son: Aplicación, Presentación, Sesión, Transporte, Red, Enlace de Datos y
Física.
Cada una de estas capas presta servicio a la capa inmediatamente superior,
siendo la capa de aplicación la única que no lo hace ya que al ser la última
capa su servicio está directamente relacionado con el usuario. Así mismo,
cada una de estas siete capas del host origen se comunica directamente con su
similar en el host de destino. Las cuatro capas inferiores también son
denominadas capas de Medios (en algunos casos capas de Flujo de Datos),
mientras que las tres capas superiores se llaman de Host o de Aplicación.
Las principales características del modelo de referencia OSI pueden
resumirse en los siguientes puntos:
Proporciona una forma de entender cómo operan los dispositivos en
una red.
Es la referencia para crear e implementar estándares de red,
dispositivos y esquemas de internetworking.
Separa la compleja operación de una red en elementos más simples.
Permite a los ingenieros centrarse en el diseño y desarrollo de
funciones modulares ocupándose cada uno de su parte específica.
Proporciona la posibilidad de definir interfaces estándar para
compatibilidad “plug-and-play” e integración multifabricante.
Descripción de las siete capas
Capa de aplicación. Es la única capa que no presta servicio a otra
puesto que es la capa de nivel superior del modelo OSI directamente
relacionada con el usuario. La aplicación a través del software dialoga
con los protocolos respectivos para acceder al medio. Por ejemplo, se
accede a un procesador de textos por el servicio de transferencia de
archivos de esta capa. Algunos protocolos relacionados con esta capa
son: HTTP, correo electrónico, telnet.
Capa de presentación. Los datos formateados se proveen de diversas
funciones de conversión y codificación que se aplican a los datos
provenientes de la capa de aplicación. Estas funciones aseguran que
estos datos enviados desde la capa de aplicación de un sistema origen
podrán ser leídos por la capa de aplicación de otro sistema destino. Un
ejemplo de funciones de codificación sería el cifrado de datos una vez
que éstos salen de una aplicación. Por ejemplo, los formatos de
imágenes JPEG y GIF que se muestran en páginas web. Este formato
asegura que todos los navegadores web puedan mostrar las imágenes,
con independencia del sistema operativo utilizado. Algunos protocolos
relacionados con esta capa son: JPEG, MIDI, MPEG, QUICKTIME.
Capa de sesión. Es la responsable de establecer, administrar y
concluir las sesiones de comunicaciones entre entidades de la capa de
presentación. La comunicación en esta capa consiste en peticiones de
servicios y respuestas entre aplicaciones ubicadas en diferentes
dispositivos. Un ejemplo de este tipo de coordinación podría ser el que
tiene lugar entre un servidor y un cliente de base de datos.
Capa de transporte. Es la encargada de la comunicación confiable
entre host, control de flujo y de la corrección de errores entre otras
cosas. Los datos son divididos en segmentos identificados con un
encabezado con un número de puerto que identifica la aplicación de
origen. En esta capa funcionan protocolos como UDP y TCP, siendo
este último uno de los más utilizados debido a su estabilidad y
confiabilidad.
Capa de red. En esta capa se lleva a cabo el direccionamiento lógico
que tiene carácter jerárquico, se selecciona la mejor ruta hacia el
destino mediante el uso de tablas de enrutamiento a través del uso de
protocolos de enrutamiento o por direccionamiento estático.
Protocolos de capa de red pueden ser: IP, IPX, RIP, IGRP, Apple Talk.
Capa de enlace de datos. Proporciona las comunicaciones entre
puestos de trabajo en una primera capa lógica, transforma los voltios
en tramas y las tramas en voltios. El direccionamiento físico y la
determinación de si deben subir un mensaje a la pila de protocolo
ocurren en esta capa. Está dividida en dos subcapas, la LLC (Logical
Link Control) y la subcapa MAC (Media Access Control). Algunos
protocolos de capa 2: Ethernet, 802.2, 802.3, HDLC, Frame-Relay.
Capa física. Se encarga de los medios, conectores, especificaciones
eléctricas, lumínicas, radiofrecuencia y de la codificación. Los bits son
transformados en pulsos eléctricos, en luz o en radiofrecuencia para
ser enviados según sea el medio en que se propaguen.
7 Aplicación HTML, http, telnet, FTP, TFTP…
6 Presentación JPEG, MIDI, MPEG, ASCII, Quicktime…
5 Sesión Control de diálogo
4 Transporte Control de flujo, TCP, UDP…
3 Red Enrutamiento, IP, IPX, RIP, IGRP, Apple Talk…
2 Enlace de datos
LLC
Ethernet, 802.2, 802.3, HDLC, Frame-Relay…
MAC
1 Física Bits, RJ45…
FUNCIONES DE LA CAPA FÍSICA
La capa física define el medio, el conector y el tipo de señalización. Se
especifican los requisitos necesarios para la correcta transmisión de los datos.
Se establecen las características eléctricas, mecánicas y funcionales para
activar, mantener y desactivar la conexión física entre sistemas finales.
La capa física especifica también características tales como niveles de
voltaje, tasas de transferencia de datos, distancias máximas de transmisión y
conectores, cada medio de red posee a su vez su propio ancho de banda y
unidad máxima de transmisión (MTU).
El medio físico y los conectores usados para conectar dispositivos al medio
vienen definidos por estándares de la capa física.
Dispositivos de la capa física
La capa física comprende los medios (cobre, fibra, RF), los conectores,
transceivers, repetidores, AP y hubs. Ninguno de ellos manipula los datos
transmitidos, sino que solo se encargan de transportarlos y propagarlos por la
red.
Los repetidores se encargan de retransmitir y de retemporizar los pulsos
eléctricos cuando la extensión del cableado supera las medidas específicas.
Los hubs son repetidores multipuesto, también llamados concentradores. Al
recibir una trama inundan todos sus puertos obligando a todos los
dispositivos conectados a cada uno de sus puertos a leer dichas tramas. Los
transceivers son adaptadores de un medio a otro.
Estándares de la capa física
Los estándares de cableado se identifican siguiendo los siguientes conceptos:
10 Base T
Donde:
10 hace referencia a la velocidad de transmisión en Mbps (megabits
por segundo), en este caso 10 Mbps.
Base es la tecnología de transmisión (banda base, analógica o digital),
en este caso digital.
T se refiere al medio físico, en este caso par trenzado.
El siguiente cuadro muestra las características de los estándares más
comunes:
Estándar Nombre Distancia máxima Comentarios
10GBase-S Fibra óptica multimodo 400 metros SFP/SFP+
10GBase-LX4 Fibra óptica multimodo 300 metros SFP/SFP+
10GBase-LR Fibra óptica monomodo 10 km SFP/SFP+
10GBase-E Fibra óptica monomodo 30 km SFP/SFP+
1000Base-LX Gigabit Ethernet 5000 metros SFP/SFP+802.3z
10Base-T Ethernet 100 metros RJ-45802.3
100Base-T Fast Ethernet 100 metros RJ-45802.3u
1000Base-T Gigabit Ethernet 100 metros RJ-45802.3ab
10GBase-T 10 Gig Ethernet 100 metros RJ-45802.3an
Medios de la capa física
La normativa EIE/TIA 568 fue creada en 1991 y establece los estándares de
cableado estructurado, ampliada posteriormente a 568-A y 568-B.
Pin Par Función Color
1 3 Transmite (+) Blanco/verde
2 3 Transmite (-) Verde
3 2 Recibe (+) Blanco/ naranja
4 1 Telefonía Azul
5 1 Telefonía Blanco/ azul
6 2 Recibe (-) Naranja7 4 Respaldo Blanco/marrón
8 4 Respaldo Marrón
Orden de los pines correspondiente a la norma 568-A sobre un conector RJ-45
Pin Par Función Color
1 3 Transmite (+) Blanco/ naranja
2 3 Transmite (-) Naranja
3 2 Recibe (+) Blanco/ verde
4 1 Telefonía Azul
5 1 Telefonía Blanco/ azul
6 2 Recibe (-) Verde
7 4 Respaldo Blanco/marrón
8 4 Respaldo Marrón
Orden de los pines correspondiente a la norma 568-B sobre un conector RJ-45
Cable directo: el orden de los pines es igual en ambos conectores, se
debe utilizar la misma norma en cada extremo.
Extremo 1 Extremo 2
Blanco/naranja Blanco/naranja
Naranja Naranja
Blanco/verde Blanco/verde
Azul Azul
Blanco/azul Blanco/azul
Verde Verde
Blanco/marrón Blanco/marrón
Marrón Marrón
Cable directo 568 B
Extremo 1 Extremo 2
Blanco/verde Blanco/verde
Verde Verde
Blanco/naranja Blanco/naranja
Azul Azul
Blanco/azul Blanco/azul
Naranja Naranja
Blanco/marrón Blanco/marrón
Marrón Marrón
Cable directo 568 A
Cable cruzado: el orden de los pines varía en ambos extremos, se
cruzan el 1-2 con el 3-6 y el 3-6 con el 1-2. El cable cruzado también
es llamado crossover. Se utiliza para conectar dispositivos como, por
ejemplo, PC-PC, PC-Router, Router-Router, etc.
Extremo 1 Extremo 2
Blanco/naranja Blanco/verde
Naranja Verde
Blanco/verde Blanco/naranja
Azul Azul
Blanco/azul Blanco/azul
Verde Naranja
Blanco/marrón Blanco/marrón
Marrón Marrón
Orden de los colores en ambos extremos de un cable cruzado
Cable consola: el orden de los pines es completamente inverso, 1-2-3-
4-5-6-7-8 con el 8-7-6-5-4-3-2-1, respectivamente. El cable de consola
también es llamado rollover.
1 al 8
2 al 7
3 al 6
4 al 5
5 al 4
6 al 3
7 al 2
8 al 1
Conector RJ-45 Cable UTP
Cable blincado STP Fibra óptica
Transceptor SFP Conector LC
NOTA:
El enfoque principal de este libro está asociado con los estándares e implementaciones
Ethernet e IEE 802.3.
Medios inalámbricos
Los medios inalámbricos transportan señales electromagnéticas mediante
frecuencias de microondas y radiofrecuencias que representan los dígitos
binarios de las comunicaciones de datos. Como medio en sí mismo, el
sistema inalámbrico no se limita a condiciones físicas, como en el caso de los
medios de fibra o de cobre. Sin embargo, el medio inalámbrico es susceptible
a la interferencia y puede distorsionarse por dispositivos comunes como
teléfonos inalámbricos domésticos, algunos tipos de luces fluorescentes,
hornos microondas y otras comunicaciones inalámbricas.
Los estándares IEEE sobre las comunicaciones inalámbricas abarcan las
capas físicas y de enlace de datos. Los cuatro estándares comunes de
comunicación de datos que se aplican a los medios inalámbricos son:
IEEE estándar 802.11: comúnmente denominada Wi-Fi, se trata de
una tecnología LAN inalámbrica (red de área local inalámbrica,
WLAN) que utiliza una contención o sistema no determinista con un
proceso de acceso a los medios de Acceso múltiple con detección de
portadora/Prevención de colisiones (CSMA/CA).
IEEE estándar 802.15: estándar de red de área personal inalámbrica
(WPAN), comúnmente denominada Bluetooth, utiliza un proceso de
emparejamiento de dispositivos para comunicarse a través de una
distancia de 1 a 100 metros.
IEEE estándar 802.16: comúnmente conocida como WiMAX
(Worldwide Interoperability for Microwave Access), utiliza una
topología punto a multipunto para proporcionar un acceso de ancho de
banda inalámbrico en una extensa cobertura.
Sistema global para comunicaciones móviles (GSM): incluye las
especificaciones de la capa física que habilitan la implementación del
protocolo Servicio general de radio por paquetes (GPRS) de capa 2
para proporcionar la transferencia de datos a través de redes de
telefonía celular móvil.
Topologías
La topología define como las estaciones de trabajo se conectan entre sí.
Existe un número de factores a considerar para determinar cuál topología es
la más apropiada para una situación dada.
Topologías más comunes son:
Bus: esta topología permite que todas las estaciones reciban la
información que se transmite, una estación transmite y todas las
restantes escuchan. Consiste en un cable con un terminador en cada
extremo del que se cuelgan todos los elementos de una red.
Anillo: las estaciones están unidas unas con otras formando un círculo
por medio de un cable común. El último nodo de la cadena se conecta
al primero cerrando el anillo. Las señales circulan en un solo sentido
alrededor del círculo, regenerándose en cada nodo. Con esta
metodología, cada nodo examina la información que es enviada a
través del anillo. Si la información no está dirigida al nodo que la
examina, la pasa al siguiente en el anillo. La desventaja del anillo es
que si se rompe una conexión se cae la red completa.
Estrella: los datos en estas redes fluyen del emisor hasta un
concentrador, que realiza las funciones de enviar y recibir las señales
de red, además actúa como amplificador de los datos.
Estrella extendida: es la combinación de dos o más topologías en
estrella unidas entre sí por sus respectivos concentradores.
Híbridas: es una combinación de todas las anteriores.
Los concentradores o hubs de capa uno son reemplazados en la actualidad
por switches de capa dos.
FUNCIONES DE LA CAPA DE ENLACE DE DATOS
La finalidad de esta capa es proporcionar comunicación entre puestos de
trabajo en una primera capa lógica que hay por encima de los bits del cable.
El direccionamiento físico de los puestos finales se realiza en la capa de
enlace de datos con el fin de facilitar a los dispositivos de red la
determinación de si deben subir un mensaje a la pila de protocolo.
La capa de enlace de datos da soporte a servicios basados en la conectividad
y no basados en ella, y proporciona la secuencia y control de flujo (no
confundir con la capa de transporte). Tiene conocimiento de la topología a la
que está afectada y donde se desempeña la tarjeta de red o NIC (Network
interface controller).
Está dividida en dos subcapas, la LLC (Logical Link Control 802.2),
responsable de la identificación lógica de los distintos tipos de protocolos y el
encapsulado posterior de los mismos para ser transmitidos a través de la red,
y la subcapa MAC (Media Access Control 802.3), responsable del acceso al
medio, el direccionamiento físico, topología de la red, disciplina de la línea,
notificación de errores, distribución ordenada de tramas y control óptimo de
flujo. Las direcciones físicas de origen destino son representadas como
direcciones de capa MAC.
Dispositivos de capa de enlace de datos
En la capa de enlace de datos se diferencian perfectamente los Dominios de
Colisión y los Dominios de Difusión (ver más adelante). Los puentes y los
switches dividen a la red en segmentos, estos a su vez crean dominios de
colisión. Una colisión producida en un segmento conectado a un switch no
afectará a los demás segmentos conectados al mismo switch. Sin embargo,
los dispositivos de capa 2 no crean dominios de broadcast o difusión.
NOTA:
Un switch de 12 puertos utilizados tendrá 12 dominios de colisión y uno de difusión.
Los dispositivos de capa dos crean dominios de colisión pero mantienen un único dominio de
broadcast. Una colisión producida en un segmento no afecta al resto
En un switch, el reenvío de tramas se controla por medio de hardware
(ASIC). Esta tecnología permite que las funciones de conmutación puedan
llevarse a cabo a una velocidad mucho mayor que por software. Debido a la
tecnología ASIC (Application-Specific Integrated Circuits), los switches
proporcionan escalabilidad a velocidades de gigabits con una latencia baja.
Los puentes funcionan a nivel de software por lo que poseen mayor latencia
comparados con un switch.
El switch almacena en una memoria de contenido direccionable (CAM) las
direcciones físicas de los dispositivos asociados a un segmento de red
conectado directamente a un puerto determinado. De esta manera identificará
inmediatamente por qué puerto enviar la trama. Si el dispositivo de destino
está en el mismo segmentoque el origen, el switch bloquea el paso de la
trama a otro segmento. Este proceso se conoce como filtrado. Si el
dispositivo de destino se encuentra en un segmento diferente, el switch envía
la trama únicamente al segmento apropiado, técnica conocida como
conmutación de capa dos. Si la dirección de destino es desconocida para el
switch, o si se tratara de un broadcast, este enviará la trama a todos los
segmentos excepto a aquel de donde se ha recibido la información. Este
proceso se denomina inundación.
La NIC o tarjeta de red opera en la capa de enlace de datos, no debe
confundirse con la capa física a pesar de estar directamente conectada al
medio ya que sus principales funciones radican en la capa 2. La NIC
almacena en su propia ROM la dirección MAC que consta de 48 bits y viene
expresada en 12 dígitos hexadecimales. Los primeros 24 bits, o 6 dígitos
hexadecimales, de la dirección MAC contienen un código de identificación
del fabricante o vendedor OUI (Organizationally Unique Identifier). Los
últimos 24 bits, o 6 dígitos hexadecimales, están administrados por cada
fabricante y presentan, por lo general, el número de serie de la tarjeta. La
dirección de la capa de enlace de datos no tiene jerarquías, es decir, que es un
direccionamiento plano.
Ejemplo de una dirección MAC o dirección física:
00-11-85-f2-32-e5
Donde:
00-11-85 representa el código del fabricante.
f2-32-e5 representa el número de serie.
Un AP o punto de acceso es un concentrador que gestiona y administra la red
wireless anunciando su propia presencia para que los clientes puedan
asociarse y controla el proceso de la comunicación. Es, además, responsable
de enviar los ACK a las estaciones que están enviando.
La función primaria del AP es puentear datos wireless del aire hasta la red
tradicional cableada. El AP lleva a cabo ciertas consideraciones antes de
permitir transmitir a la estación.
Una vez asociadas todas las comunicaciones desde y hacia el cliente pasarán
por el AP. Los clientes ahora no pueden comunicarse directamente con otros
sin la intervención del AP.
Los Wireless Controllers de Cisco se utilizan para configurar las directivas
inalámbricas o la configuración de seguridad en cualquier momento a través
de una gestión centralizada. Reducen los gastos operativos mediante la
simplificación de despliegue de red, operaciones y gestión. Responden al
crecimiento de la organización con el modelo de licencias escalables.
La implementación de los controladores inalámbricos ayuda a gestionar de
forma centralizada, segura y permite configurar los puntos de acceso en toda
la organización.
Los Cisco Wireless Controllers pueden funcionar en capa 2 y capa 3 y
brindan movilidad y calidad de servicio para voz y vídeo y el acceso
inalámbrico de alta seguridad para invitados.
Los Wireless Controllers de Cisco se utilizan para configurar las directivas inalámbricas a
través de una gestión centralizada
NOTA:
Para verificar el correcto funcionamiento de la tarjeta de red se realiza un ping a la dirección
IP de la misma.
Características de las redes conmutadas
Cada segmento genera su propio dominio de colisión.
Todos los dispositivos conectados al mismo bridge o switch forman
parte del mismo dominio de difusión.
Todos los segmentos deben utilizar la misma implementación al nivel
de la capa de enlace de datos como, por ejemplo, Ethernet o Token
Ring.
Si un puesto final concreto necesita comunicarse con otro puesto final
a través de un medio diferente, se hace necesaria la presencia de algún
dispositivo, como puede ser un router o un bridge de traducción, que
haga posible el diálogo entre los diferentes tipos de medios.
En un entorno conmutado, puede haber un dispositivo por segmento, y
todos los dispositivos pueden enviar tramas al mismo tiempo,
permitiendo de este modo que se comparta la ruta primaria.
FUNCIONES DE LA CAPA DE RED
La capa de red define cómo transportar el tráfico de datos entre dispositivos
que no están conectados localmente en el mismo dominio de difusión, es
decir, que pertenecen a diferentes redes. Para conseguir esta comunicación se
necesita conocer las direcciones lógicas asociadas a cada puesto de origen y
de destino y una ruta bien definida a través de la red para alcanzar el destino
deseado. La capa de red es independiente de la de enlace de datos y, por
tanto, puede ser utilizada para conectividad de medios físicos diferentes.
Las direcciones de capa 3, o direcciones lógicas, son direcciones jerárquicas.
Esta jerarquía define primero las redes y luego a los dispositivos (nodos)
pertenecientes a esas redes. Un ejemplo para la comprensión de una dirección
jerárquica sería un número telefónico, donde primero se define el código del
país, luego el estado y luego el número del usuario. Un esquema plano se
puede ejemplificar con un número de un documento de identidad donde cada
número es único y personal.
Una dirección lógica cuenta con dos partes bien definidas, una que identifica
de forma única a la red dentro de un conjunto en la internetwork y la otra
parte que representa al host dentro de estas redes. Con la suma o combinación
de ambas partes se obtiene un identificador único para cada dispositivo. El
router identifica dentro de la dirección lógica la porción perteneciente a la red
con el fin de identificar la red donde enviar los paquetes.
NOTA:
Existen muchos protocolos de red, todos cumplen las mismas funciones de identificar redes y
hosts. TCP/IP es el protocolo común más usado.
Dirección de capa tres
Una dirección IPv4 se caracteriza por lo siguiente:
Una dirección de 32 bits, dividida en cuatro octetos. Este
direccionamiento identifica una porción perteneciente a la red y otra al
host.
A cada dirección IP le corresponde una máscara de red de 32 bits
dividida en cuatro octetos. El router determina las porciones de red y
host por medio de la máscara de red.
Las direcciones IP generalmente se representan en forma decimal para
hacerlas más comprensibles. Esta forma se conoce como decimal
punteado o notación decimal de punto.
Dirección IP 172.16.1.3
Máscara 255.255.0.0
172 16 1 3
10101100 00010000 00000001 00000011
255 255 0 0
11111111 11111111 00000000 00000000
Porción de red Porción de host
Ejemplo del formato de una dirección IPv4
Las direcciones IPv6 miden 128 bits y son identificadores de interfaces
individuales y conjuntos de interfaces. Las direcciones IPv6 se asignan a
interfaces, no a nodos. Como cada interfaz pertenece a un solo nodo,
cualquiera de las direcciones unicast asignada a las interfaces del nodo se
pueden usar como identificadores del nodo. Las direcciones IPv6 se escriben
en hexadecimal, separadas por dos puntos. Los campos IPv6 tienen una
longitud de 16 bits.
Ejemplo de una dirección IPv6:
24ae:0000:f2f3:0000:0000:0687:a2ff:6184
Comparación entre IPv4 e IPv6
Cuando se adoptó TCP/IP en los años ochenta, la versión 4 del
direccionamiento IP (IPv4) ofrecía una estrategia de direccionamiento que,
aunque resultó escalable durante algún tiempo, produjo una asignación poco
eficiente de las direcciones.
A mediados de los años noventa se comenzaron a detectar las siguientes
dificultades sobre IPv4:
Agotamiento de las restantes direcciones de red IPv4 no asignadas. En
ese entonces, el espacio de Clase B estaba a punto de agotarse.
Se produjo un gran y rápido aumento en el tamaño de las tablas de
enrutamiento de Internet a medida que las redes Clase C se conectaban
en línea. La inundación resultante de nueva información en la red
amenazaba la capacidad de los routers de Internet para ejercer una
efectiva administración.
Durante las últimas dos décadas, se desarrollaron numerosas extensiones al
IPv4. Estas extensiones se diseñaron específicamente para mejorar la
eficiencia con la cual es posible utilizar un espacio de direccionamiento de 32
bits como VLSM y CIDR (ver más adelante).
Mientras tanto, se ha definido y desarrollado una versión más extensible y
escalable del IP, la versión 6 del IP (IPv6). IPv6 utiliza 128 bits en lugar de
los 32 bits que en la actualidad utilizael IPv4. IPv6 utiliza números
hexadecimales para representar los 128 bits. IPv6 proporciona 640 sextillones
de direcciones. Esta versión del IP proporciona un número de direcciones
suficientes para futuras necesidades de comunicación.
NOTA:
El direccionamiento IPv6 también es conocido como IPng o “IP de nueva generación”.
Operación AND
Los routers determinan la ruta de destino a partir de la dirección de red, estos
comparan las direcciones IP con sus respectivas máscaras efectuando la
operación booleana AND. Los routers ignoran el rango de host para encontrar
la red destino a la que éste pertenece.
La operación AND consiste en comparar bit a bit la dirección IP y la máscara
utilizando el siguiente razonamiento:
1x1=1
1x0=0
0x1=0
0x0=0
Dirección de host 10101100.00100000.00000001.00000011
Máscara de red 11111111.11111111.00000000.00000000
Dirección de red 10101100.00100000.00000000.00000000
En decimales:
Dirección de host 172. 16. 1. 3
Máscara de red 255. 255. 0. 0
Dirección de red 172. 16. 0. 0
Dispositivos de la capa de red
Los routers funcionan en la capa de red del modelo OSI separando los
segmentos en dominios de colisión y difusión únicos. Estos segmentos están
identificados por una dirección de red que permitirá alcanzar las estaciones
finales. Los routers cumplen dos funciones básicas que son la de enrutar y
conmutar los paquetes. Para ejecutar estas funciones registran en tablas de
enrutamiento los datos necesarios para esta función.
Además de identificar redes y proporcionar conectividad, los routers deben
proporcionar estas otras funciones:
Los routers no envían difusiones de capa 2 ni tramas de multidifusión.
Los routers intentan determinar la ruta óptima a través de una red
enrutada basándose en algoritmos de enrutamiento.
Los routers separan las tramas de capa 2 y envían paquetes basados en
direcciones de destino capa 3.
Los routers asignan una dirección lógica de capa 3 individual a cada
dispositivo de red; por tanto, los routers pueden limitar o asegurar el
tráfico de la red basándose en atributos identificables con cada
paquete. Estas opciones, controladas por medio de listas de acceso,
pueden ser aplicadas para incluir o descartar paquetes.
Los routers pueden ser configurados para realizar funciones tanto de
puenteado como de enrutamiento.
Los routers proporcionan conectividad entre diferentes LAN virtuales
(VLAN) en entornos conmutados.
Los routers pueden ser usados para desplegar parámetros de calidad de
servicio para tipos específicos de tráfico de red.
Los routers conocen los diferentes destinos manteniendo tablas de
enrutamiento que contienen la siguiente información:
Dirección de red. Representa redes conocidas por el router. La
dirección de red es específica del protocolo. Si un router soporta varios
protocolos, tendrá una tabla por cada uno de ellos.
Interfaz. Se refiere a la interfaz usada por el router para llegar a una
red dada. Esta es la interfaz que será usada para enviar los paquetes
destinados a la red que figura en la lista.
Métrica. Se refiere al coste o distancia para llegar a la red de destino.
Se trata de un valor que facilita al router la elección de la mejor ruta
para alcanzar una red dada. Esta métrica cambia en función de la
forma en que el router elige las rutas. Entre las métricas más habituales
figuran el número de redes que han de ser cruzadas para llegar al
destino (conocido también como saltos), el tiempo que se tarda en
atravesar todas las interfaces hasta una red dada (conocido también
como retraso), o un valor asociado con la velocidad de un enlace
(conocido también como ancho de banda).
En la siguiente salida del router se observa una tabla de enrutamiento con las
direcciones IP de destino (172.25.25.6/32), la métrica ([120/2]) y la
correspondiente interfaz de salida Serial 0.1.
Router2#show ip route rip
R 172.21.0.0/16 [120/1] via 172.25.2.1, 00:00:01, Serial0.1
R 172.22.0.0/16 [120/1] via 172.25.2.1, 00:00:01, Serial0.1
172.25.0.0/16 is variably subnetted, 6 subnets, 3 masks
R 172.25.25.6/32 [120/2] via 172.25.2.1, 00:00:01, Serial0.1
R 172.25.25.1/32 [120/1] via 172.25.2.1, 00:00:01, Serial0.1
R 172.25.1.0/24 [120/1] via 172.25.2.1, 00:00:01, Serial0.1
R 172.25.0.0/16 [120/1] via 172.25.2.1, 00:00:01, Serial0.1
Además de las ventajas que aporta su uso en un campus, los routers pueden
utilizarse también para conectar ubicaciones remotas con la oficina principal
por medio de servicios WAN. Los routers soportan una gran variedad de
estándares de conectividad al nivel de la capa física, lo cual ofrece la
posibilidad de construir WAN. Además, pueden proporcionar controles de
acceso y seguridad, que son elementos necesarios cuando se conectan
ubicaciones remotas.
Los routers comunican redes diferentes creando dominios de difusión y de colisión, los
broadcast de un segmento no inundan a los demás ni las colisiones afectan al resto
Los Firewalls trabajan principalmente en la capa de Red del modelo OSI y
generalmente se los considera dispositivos de esta capa. Sin embargo,
algunos firewalls, analizan tráfico basándose en información de las capas 3,
4, 5 y 7 del modelo de referencia OSI, como protocolo y números de puerto
de origen y destino. El filtrado de paquetes utiliza las ACL para determinar si
permite o deniega tráfico basándose en direcciones IP de origen y destino,
protocolo, tipo de paquete y números de puerto origen y destino. Los
firewalls de filtrado de paquetes generalmente son parte de un router con
funcionalidad de firewall.
Algunos diseños con firewalls son tan simples como la designación de una
red externa y una interna, determinadas por dos interfaces del firewall. La red
externa no es confiable, mientras que la interna sí lo es. El tráfico proveniente
de la red interna pasa a través del firewall hacia afuera con pocas o ninguna
restricción. El tráfico que se origina fuera generalmente es bloqueado o
permitido muy selectivamente. Al tráfico de retorno que proviene de la red
externa, asociado con tráfico de origen interno, se le permite pasar de la
interfaz no confiable a la confiable. Un diseño más complicado puede
involucrar tres o más interfaces del firewall.
FUNCIONES DE LA CAPA DE TRANSPORTE
Para conectar dos dispositivos remotos es necesario establecer una conexión.
La capa de transporte establece las reglas para esta interconexión. Permite
que las estaciones finales ensamblen y reensamblen múltiples segmentos del
mismo flujo de datos. Esto se hace por medio de identificadores que en
TCP/IP reciben el nombre de números de puerto. La capa cuatro permite
además que las aplicaciones soliciten transporte fiable entre los sistemas.
Asegura que los segmentos distribuidos serán confirmados al remitente.
Proporciona la retransmisión de cualquier segmento que no sea confirmado.
Coloca de nuevo los segmentos en su orden correcto en el receptor.
Proporciona control de flujo regulando el tráfico de datos.
En la capa de transporte, los datos pueden ser transmitidos de forma fiable o
no fiable. Para IP, el protocolo TCP (Transmission Control Protocol) es
fiable u orientado a conexión con un saludo previo de tres vías, mientras que
UDP (User Datagram Protocol) no es fiable, o no orientado a la conexión
donde solo se establece un saludo de dos vías antes de enviar los datos.
MODELO TCP/IP
El Departamento de Defensa de EE.UU. (DoD) creó el modelo de referencia
TCP/IP porque necesitaba una red que pudiera sobrevivir ante cualquier
circunstancia. Para tener una mejor idea, imagine un mundo, cruzado por
numerosos tendidos de cables, alambres, microondas, fibras ópticas y enlaces
satelitales. Entonces, imagine la necesidad de transmitir datos
independientemente del estado de un nodo o red en particular. El DoD
requería una transmisión de datos confiable hacia cualquier destino de la red,
en cualquier circunstancia. La creación del modelo TCP/IP ayudó a
solucionar este difícil problema de diseño. Desde entonces, TCP/IP se ha
convertido en el estándar en el que se basa Internet. Al leer sobre las capas
del modelo TCP/IP,tenga en cuenta el diseño original de Internet. Recordar
su propósito ayudará a reducir las confusiones.
El modelo TCP/IP tenía originalmente cuatro capas: la capa de aplicación, la
capa de transporte, la capa de Internet y la capa de acceso de red (NAL).
Posteriormente en una actualización del modelo la capa de acceso a la red se
ha dividido en dos subcapas.
TCP/IP
original
TCP/IP
Actualizado
Aplicación Aplicación
Transporte Transporte
Internet Red
Acceso a la red
Enlace de datos
Física
Es importante observar que algunas de las capas del modelo TCP/IP poseen
el mismo nombre que las capas del modelo OSI. Resulta fundamental no
confundir las funciones de las capas de los dos modelos ya que estas se
desempeñan de diferente manera en cada modelo.
OSI TCP/IP Protocolos
Aplicación Telnet, FTP, LPD,
Presentación
Sesión
Aplicación SNMP,TFTP, SMTP,
NFS, HTTP, X Windows
Transporte Transporte TCP, UDP
Red Internet ICMP, BOOTP, ARP,RARP, IP
Enlace de datos
Física Red
Ethernet,
Fast-Ethernet,
Token Ring, FDDI
Comparativa entre el modelo OSI y el modelo TCP/IP
Protocolos de capa de aplicación
Los protocolos describen el conjunto de normas y convenciones que rigen la
forma en que los dispositivos de una red intercambian información. Algunos
de los protocolos de la capa de Aplicación del modelo TCP/IP son:
Telnet. Protocolo de emulación de terminal estándar que se usa para la
conexión de terminales remotas, permitiendo que los usuarios se
registren en dichos sistemas y utilicen los recursos como si estuvieran
conectados localmente.
FTP. Protocolo utilizado para transferir archivos entre host de red de
manera confiable ya que utiliza un mecanismo orientado a conexión.
TFTP. Versión simplificada de FTP que permite la transferencia de
archivos de un host a otro a través de una red de manera menos
confiable.
DNS. El sistema de denominación de dominio es utilizado en Internet
para convertir los nombres de los nodos de red en direcciones.
SMTP. Protocolo simple de transferencia de correo basado en texto
utilizado para el intercambio de mensajes de correo electrónico entre
distintos dispositivos. Se basa en el modelo cliente-servidor, donde un
cliente envía un mensaje a uno o varios receptores.
SNMP. Protocolo de administración de redes utilizado casi con
exclusividad en redes TCP/IP. El SNMP brinda una forma de
monitorizar y controlar los dispositivos de red y de administrar
configuraciones, recolección de estadísticas, desempeño y seguridad.
DHCP. Protocolo de configuración dinámica del host. Protocolo que
proporciona un mecanismo para asignar direcciones IP de forma
dinámica, de modo que las direcciones se pueden reutilizar
automáticamente cuando los hosts ya no las necesitan.
Protocolos de capa de transporte
Los protocolos de la capa de transporte se encargan de dar soporte a la capa
superior brindando apoyo enviando los datos sin importar el contenido de los
mismos. Los dos protocolos extensamente conocidos para tal proceso son:
TCP. Protocolo de control de transmisión, es básicamente el más
utilizado, tiene control de flujo, reensamblado de paquetes y acuses de
recibo. Es un protocolo orientado a conexión muy seguro que utiliza
un saludo de tres vías antes del envío de los datos. En párrafos
anteriores se hace una descripción más en detalle del funcionamiento
de TCP.
UDP. El protocolo de datagrama del usuario es en general menos
seguro que TCP, no tiene corrección de errores y es del tipo no
orientado a conexión, los datos se envían sin verificar previamente el
destino. A pesar de ello es muy utilizado por el bajo consumo de
recursos de red.
Un ejemplo de protocolo orientado a conexión puede compararse con una
llamada telefónica, donde el interlocutor establece una conexión (marcando el
número), verifica que el destinatario sea la persona que se espera (saludando
recíprocamente) y, finalmente, estableciendo la conversación (envío de
datos). El caso de un protocolo no orientado a conexión puede ser un envío
postal, donde se envía la correspondencia sin establecer ningún aviso previo,
ni acuse de recibo.
TCP utiliza una técnica llamada ventanas, donde se establece la cantidad de
envío de paquetes antes de transmitir; mientras que en el windowing o de
ventana deslizante, el flujo de envío de datos es negociado dinámicamente
entre el emisor y el receptor. En las ventanas deslizantes o windowing cada
acuse de recibo ACK (acknowledgement) confirma la recepción y el envío
siguiente.
RECUERDE:
• TCP, protocolo confiable de capa de transporte orientado a conexión.
• UDP, protocolo NO confiable de capa de transporte NO orientado a conexión.
Un protocolo orientado a conexión es el que previamente establece un saludo antes de enviar
los datos, como es el ejemplo de una llamada telefónica, donde se establece un saludo de
tres vías. Un protocolo No orientado a conexión es el que no establece saludo previo antes
de enviar los datos como es el caso de un envío postal donde se establece un saludo de dos
vías.
Números de puertos
Los números de puerto son utilizados por TCP y UDP para identificar
sesiones de diferentes aplicaciones, los números de puertos ocupan rangos
definidos que van desde puertos bien conocidos hasta puertos específicos
determinados por los usuarios.
1 al 1023 Puertos bien conocidos
1 al 255 Puertos públicos
256 al 1023 Asignados a empresas
Mayores al 1023 Definidos por el usuario
Números de puerto utilizados por TCP y UDP para identificar sesiones de diferentes
aplicaciones
A continuación, se detallan los números de puertos más comunes:
Número de puerto Protocolo
7 Echo
9 Discard
13 Daytime
19 Character Generator
20 FTP Data Connections
21 File Transfer Protocol
23 Telnet
25 Simple Mail Transport Protocol
37 Time
53 Domain Name Service
43 Nicname
49 TAC Access Control System
69 Trivial File Transfer Protocol
70 Gopher
79 Finger
80 World Wide Web
101 NIC hostname server
109 Post Office Protocol v2
110 Post Office Protocol v3
111 Sun Remote Procedure Call
113 Ident Protocol
119 Network News Transport Protocol
179 Border Gateway Protocol
Protocolos de capa de Internet
Estos son algunos de los protocolos más usados que operan en la capa de
Internet del modelo TCP/IP:
IP. Protocolo de Internet, proporciona un enrutamiento de paquetes no
orientado a conexión de máximo esfuerzo. IP no se ve afectado por el
contenido de los paquetes, sino que busca una ruta hacia el destino.
ARP. Protocolo de resolución de direcciones, determina la dirección
de la capa de enlace de datos, la dirección MAC, para las direcciones
IP conocidas.
RARP. Protocolo de resolución inversa de direcciones, determina las
direcciones IP cuando se conoce la dirección MAC.
ICMP. Protocolo de mensajes de control en Internet, suministra
capacidades de control y envío de mensajes. Herramientas tales como
PING y tracert utilizan ICMP para poder funcionar, enviando un
paquete a la dirección destino específica y esperando una determinada
respuesta. ICMP se describe con más detalle más adelante.
NOTA:
La capa de Acceso a la Red está dividida en dos subcapas: Enlace de datos y Física. La
capa de Internet también es llamada capa de Interred o capa de red.
RECUERDE:
• Puertos bien conocidos del 1 al 1023.
• Puertos públicos del 1 al 255.
• Puertos asignados a empresas del 256 al 1023.
• Puertos definidos por el usuario son los superiores a 1023.
ETHERNET
Ethernet es la tecnología de acceso al medio más popular, es escalable,
económica y fácilmente integrable a nuevas aplicaciones, se pueden obtener
arquitecturas de LAN a velocidades de Gigabit sobre cobre y la resolución de
fallos suele ser simple y rápida. Ethernet opera sobre la capa de enlace de
datos y física del modelo OSI. Sin embargo, no es determinista ni ofrece
jerarquías.
Ethernet es una tecnología conflictiva de máximo esfuerzo, todos los equipos
de trabajo que se conectan al mismo medio físico reciben las señales enviadas
por otros dispositivos. Si dos estaciones transmiten a la vez, se genera una
colisión. Si no existieranmecanismos que detectasen y corrigiesen los errores
de estas colisiones, Ethernet no podría funcionar.
Ethernet fue creada en colaboración por Intel, Digital y Xerox, originalmente
se implementó como Ethernet 802.3, half-duplex, limitada al transporte de
datos por solo un par de cobre a la vez (recibe por un par y transmite por otro,
pero no al mismo tiempo). Posteriormente, la tecnología Ethernet full-duplex
permitió recibir y enviar datos al mismo tiempo libre de colisiones. El uso
más adecuado del ancho de banda permite casi duplicarse al poder transmitir
y recibir al 100% de capacidad. Sin embargo, esta tecnología no es tan
económica y es solo aplicable a dispositivos que lo permitan.
En el diseño de una red Ethernet se debe tener especial cuidado con los
llamados dominios de colisión y dominios de difusión (broadcast) debido a
que la excesiva cantidad de colisiones o de broadcast (tormentas de
broadcast) harían inaceptable el funcionamiento de Ethernet.
Dominio de colisión
Grupo de dispositivos conectados al mismo medio físico, de tal manera que,
si dos dispositivos acceden al medio al mismo tiempo, el resultado será una
colisión entre las dos señales. Como resultado de estas colisiones se produce
un consumo inadecuado de recursos y de ancho de banda. Cuanto menor sea
la cantidad de dispositivos afectados a un dominio de colisión mejor
desempeño de la red.
Dominio de difusión
Grupo de dispositivos de la red que envían y reciben mensajes de difusión
entre ellos. Una cantidad excesiva de estos mensajes de difusión (broadcast)
provocará un bajo rendimiento en la red, una cantidad exagerada (tormenta de
broadcast) dará como resultado el mal funcionamiento de la red hasta tal
punto de poder dejarla completamente congestionada.
Los hubs o concentradores tienen un único dominio de colisión, eso quiere
decir que si dos equipos provocan una colisión en un segmento asociado a un
puerto del hub, todos los demás dispositivos aun estando en diferentes
puertos se verán afectados. De igual manera se verían afectados si una
estación envía un broadcast, debido a que un hub también tiene un solo
dominio de difusión.
Comparativa entre dominios de colisión y dominios de difusión en dispositivos de tres capas
diferentes
Los dispositivos conectados a través de un hub comparten el mismo dominio de colisión y de
broadcast. Las colisiones en el medio afectarán por igual a todos los hosts del segmento
NOTA:
Asocie a los routers como los dispositivos que crean dominios de difusión y a los switches
como los que crean dominios de colisión.
CSMA/CD
La tecnología Ethernet utiliza para controlar las colisiones dentro de un
determinado segmento el protocolo CSMA/CD (Carrier Sense Multiple
Access with Collision Detection). En la práctica, esto significa que varios
puestos pueden tener acceso al medio y que, para que un puesto pueda
acceder a dicho medio, deberá detectar la portadora para asegurarse de que
ningún otro puesto esté utilizándolo. Si el medio se encuentra en uso, el
puesto procederá a mantener en suspenso el envío de datos. En caso de que
haya dos puestos que no detectan ningún otro tráfico, ambos tratarán de
transmitir al mismo tiempo, dando como resultado una colisión.
A partir de esta colisión las estaciones emiten una señal de congestión para
asegurarse de que existe una colisión y se genera un algoritmo de espera con
el que las estaciones retransmitirán aleatoriamente.
RECUERDE:
El ejemplo más claro de CSMA/CD es el de “escucho y luego transmito”.
Secuencia de una colisión en un entorno Ethernet
Operación dúplex
En las comunicaciones de datos, duplex se refiere a la dirección de
transmisión de los datos entre dos dispositivos.
Half-duplex: la comunicación se limita al intercambio de datos en una
dirección a la vez.
Full-duplex: la comunicación es simultánea y permite al envío y
recepción de datos al mismo tiempo.
Los dispositivos interconectados deben funcionar en el mismo modo dúplex
para evitar problemas en el enlace. La autonegociación Ethernet facilita esta
configuración y, por tanto, minimiza los problemas. Los duplex mismatches
son desajustes en el modo dúplex y producen problemas de comunicación
entre los dispositivos. Pueden ser difíciles de solucionar porque pueden no
ser evidentes incluso cuando se utilizan herramientas como ping.
Formato básico de una trama Ethernet
El formato de la trama del estándar IEEE 802.3 y el de Ethernet creado por
Xerox son muy similares y compatibles, solo difieren en algunas pequeñas
cuestiones de concepto. IEEE 802.3 se basa en las especificaciones recogidas
por los estándares del Instituto de Ingenieros Eléctricos y Electrónicos, a
partir de Ethernet mientras que Ethernet II es una versión actualizada de
Ethernet.
Preámbulo
Dirección
MAC
destino
Dirección
MAC
origen
Tipo de
protocolo FCS
8 Bytes 6 Bytes 6 Bytes 2 Bytes 46 - 1500 Bytes4 Bytes
Longitud máxima: 1518 Bytes. Longitud mínima: 64 Bytes
Preámbulo. Secuencia de valores alternados 1 y 0 usados para la
sincronización y para detectar la presencia de señal, indica el inicio de
la trama.
Dirección de destino. Este campo identifica la dirección MAC del
dispositivo que debe recibir la trama. La dirección de destino puede
especificar una dirección individual o una dirección multicast
destinada a un grupo de estaciones. Una dirección destino con todos
los bits en 1 se refiere a todos los dispositivos de la red denominada
dirección de broadcast o difusión.
Dirección de origen. Este campo identifica la dirección MAC del
dispositivo que debe enviar la trama.
Tipo. Indica el tipo de protocolo de capa superior.
Datos. Este campo contiene los datos transferidos desde el origen
hasta el destino. El tamaño máximo de este campo es de 1500 bytes. Si
el tamaño de este campo es menor de 46 bytes, entonces es necesario
el uso del campo siguiente (Pad) para añadir bytes hasta que el tamaño
de la trama alcance el valor mínimo.
FSC. Campo de comprobación de la trama, este campo contiene un
valor de chequeo de redundancia de 4 bytes (CRC) para verificación
de errores. La estación origen efectúa un cálculo y lo transmite como
parte de la trama. Cuando la trama es recibida por el destino, este
realiza un chequeo idéntico. Si el valor calculado no coincide con el
valor en el campo, el destino asume que ha sido un error durante la
transmisión y entonces descarta la trama completa.
Los estándares originales Ethernet definen el tamaño mínimo de trama como
64 bytes y el máximo como 1518 bytes. Estas cantidades incluyen todos los
bytes de la trama menos los comprendidos en el preámbulo. En 1998 se
promovió una iniciativa con el fin de incrementar el tamaño máximo del
campo de datos de 1500 a 9000 bytes. Las tramas más largas (tramas
gigantes) proveen un uso más eficiente del ancho de banda en la red a la vez
que reducen la cantidad de tramas a procesar.
Proceso de encapsulación de los datos
El proceso desde que los datos son incorporados al ordenador hasta que se
transmiten al medio se llama encapsulación. Estos datos son formateados,
segmentados, identificados con el direccionamiento lógico y físico para
finalmente ser enviados al medio. A cada capa del modelo OSI le
corresponde una PDU (Unidad de Datos) que se puede abreviar con el
formato LxPDU, donde la x representa el número de la capa correspondiente.
Por ejemplo, para la capa de red la abreviatura correspondiente será L3PDU.
Siguiendo por lo tanto el siguiente orden de encapsulamiento:
1. Datos. Los datos son incorporados al ordenador por el usuario a través
de una determinada aplicación. Los datos son formateados de tal
manera que puedan ser leídos por la capa de aplicación de otro
ordenador en el destino.
2. Segmentos. Debido a que posiblemente la cantidad de los datos sea
demasiada, la capa de transporte desde el origen se encarga de
segmentarlos para así ser empaquetados debidamente, esta misma capa
en el destino se encargará de reensamblar los datos y colocarlos en
forma secuencial, ya que no siempre llegan a su destino en el orden en
quehan sido segmentados, así mismo acorde al protocolo que se esté
utilizando habrá o no corrección de errores.
3. Paquetes. Los segmentos son empaquetados en paquetes o datagramas
e identificados en la capa de red con la dirección lógica o IP
correspondiente al origen y destino.
4. Tramas. En la capa de enlace de datos se añade una cabecera con la
dirección MAC y el campo de comprobación de la trama formándose
las tramas, o frames, para ser transmitidos a través de alguna interfaz.
5. Bits. Finalmente, las tramas son enviadas al medio desde la capa
física, en forma de pulsos eléctricos, luz o radiofrecuencia.
Aplicación
Datos
L7PDU
Presentación L6PDU
Sesión L5PDU
Transporte Segmentos L4PDU
Red Paquetes L3PDU
Enlace de datos Tramas L2PDU
Física Bits L1PDU
Relación entre capas del modelo OSI y su correspondiente PDU
Secuencia de la encapsulación de datos:
Se crean los datos a través de una aplicación
Datos
DATOS
Los datos son segmentados
Segmentos
Puerto origen Puerto destino . . . . DATOS
Se coloca el encabezado IP
Paquetes
Dirección IP de origen Dirección IP de destino Protocolo . . . . SEGMENTO FCS
Se agrega el encabezado MAC
Tramas
Dirección MAC origen Dirección MAC destino . . . . PAQUETE FCS
Se envía al medio
Bits
10010111010011110010101000111101010000…………
NOTA:
El proceso inverso se realiza en el destino y se llama desencapsulación de datos.
MODELO JERÁRQUICO
Con el fin de simplificar el diseño, implementación y administración de las
redes, Cisco utiliza un modelo jerárquico para describir la red. Aunque la
práctica de este método suele estar asociada con el proceso de diseño de una
red, es importante comprender el modelo para poder determinar el equipo y
características que van a necesitar en la red. Un modelo jerárquico acelera la
convergencia, mantiene posibles problemas aislados por capas y reduce la
sobrecarga en los dispositivos.
El modelo se compone de tres capas o niveles:
Capa o nivel de acceso.
Capa o nivel de distribución.
Capa o nivel de núcleo.
Modelo jerárquico de tres capas
Capa de acceso
La capa de acceso de la red es el punto en el que cada usuario se conecta a la
red. Esta es la razón por la cual la capa de acceso se denomina a veces capa
de puesto de trabajo, capa de escritorio o de usuario. Los usuarios, así como
los recursos a los que estos necesitan acceder con más frecuencia están
disponibles a nivel local. El tráfico hacia y desde recursos locales está
confinado entre los recursos, switches y usuarios finales.
En la capa de acceso podemos encontrar múltiples grupos de usuarios con sus
correspondientes recursos. En muchas redes no es posible proporcionar a los
usuarios un acceso local a todos los servicios, como archivos de bases de
datos, almacenamiento centralizado o acceso telefónico a la Web. En estos
casos, el tráfico de usuarios que demandan estos servicios se desvía a la
siguiente capa del modelo: la capa de distribución.
Algunas de las funciones de la capa de acceso son:
Interconexión de los diferentes grupos de trabajo hacia la capa de
distribución.
Segmentación en múltiples dominios de colisión.
Brinda soporte a tecnologías como Ethernet y Wireless.
Implementación de redes virtuales (VLAN).
Capa de distribución
La capa de distribución marca el punto medio entre la capa de acceso y los
servicios principales de la red. La función primordial de esta capa es realizar
funciones tales como enrutamiento, filtrado y acceso a WAN.
En un entorno de campus, la capa de distribución abarca una gran diversidad
de funciones, entre las que figuran las siguientes:
Servir como punto de concentración para acceder a los dispositivos de
capa de acceso.
Enrutar el tráfico para proporcionar acceso a los departamentos o
grupos de trabajo y entre las diferentes VLAN.
Segmentar la red en múltiples dominios de difusión/multidifusión.
Traducir los diálogos entre diferentes tipos de medios, como Token
Ring y Ethernet.
Proporcionar servicios de seguridad y filtrado.
La capa de distribución puede resumirse como la capa que proporciona una
conectividad basada en una determinada política, dado que determina cuándo
y cómo los paquetes pueden acceder a los servicios principales de la red. La
capa de distribución determina la forma más rápida para que la petición de un
usuario (como un acceso al servidor de archivos) pueda ser remitida al
servidor. Una vez que la capa de distribución ha elegido la ruta, envía la
petición a la capa de núcleo. La capa de núcleo podrá entonces transportar la
petición al servicio apropiado.
Capa de núcleo
La capa del núcleo o core se encarga de desviar el tráfico lo más rápidamente
posible hacia los servicios apropiados. Normalmente, el tráfico transportado
se dirige o proviene de servicios comunes a todos los usuarios. Estos
servicios se conocen como servicios globales o corporativos. Algunos de
ellos pueden ser e-mail, el acceso a Internet o videoconferencia.
Cuando un usuario necesita acceder a un servicio corporativo, la petición se
procesa al nivel de la capa de distribución. El dispositivo de la capa de
distribución envía la petición del usuario al núcleo. Este se limita a
proporcionar un transporte rápido hasta el servicio corporativo solicitado. El
dispositivo de la capa de distribución se encarga de proporcionar un acceso
controlado a la capa de núcleo.
Para la capa de core se deben tomar en cuenta los siguientes conceptos:
Esta capa debe ser diseñada para una alta velocidad de transferencia y
mínima latencia.
No se debe dar soporte a grupos de trabajo ni enrutamiento entre
VLAN.
El tráfico debe haber sido filtrado en la capa anterior.
Los protocolos de enrutamientos utilizados deben ser de rápida
convergencia y redundantes.
RECUERDE:
Capa Funciones Dispositivos
Núcleo Conmuta el tráfico hacia el servicio solicitado, comunicación rápida y segura
Routers,
switch
multicapa
Distribución
Enrutamiento, filtrado, acceso WAN, seguridad basada en políticas, servicios
empresariales, enrutamiento entre VLANS, definición de dominios de broadcast y
multicast
Router
Acceso Define Dominios de colisión, estaciones finales, ubicación de usuarios, servicios degrupos de trabajos, VLANS Hub, switch
MODELO DE CORE COLAPSADO
El diseño jerárquico de tres niveles maximiza el rendimiento, la
disponibilidad de la red y la capacidad de escalar el diseño de la red. La
mayoría de las pequeñas empresas no crecen significativamente con el
tiempo, por tanto, un diseño jerárquico de dos capas o niveles, donde las
capas de núcleo y de distribución se colapsan en una sola capa, es suficiente
para proporcionar las exigencias de la empresa. La principal motivación para
el diseño de núcleo colapsado es la reducción de costos de la red,
manteniendo al mismo tiempo la mayor parte de los beneficios del modelo
jerárquico de tres niveles.
La implementación principal de un modelo colapsado reside en que las
funciones de la capa de distribución y la capa de core están aplicadas en un
solo dispositivo.
El dispositivo de núcleo-distribución colapsado debe proporcionar lo
siguiente:
Rutas físicas y lógicas de alta velocidad de conexión a la red.
Servir como punto de demarcación entre acceso y núcleo y de
concentración de capa 2.
Definir las políticas de acceso y de enrutamiento.
Proveer calidad de servicio (QoS), virtualización de red, etc.
Sin embargo, si se espera que la empresa crezca con el tiempo, la
implementación del modelo jerárquico de tres niveles es la mejor opción.
PROCEDIMIENTOS BÁSICOS DE TROUBLESHOOTING
Un buen procedimiento de troubleshooting estructurado ayuda a utilizar de
manera más eficiente los recursos de una empresa, además, en caso de que un
administrador deba continuar el trabajo de otro será más fácil de asumir. La
combinación de las herramientas mencionadas en los párrafos anteriores
(como ping, traceroute y todos los comandos shows que se verán a lo largo de
todo este libro) permite obtener resultados positivos a la hora de solucionar
problemas en la red.
Los siguientes pasos siguen un correcto mecanismode troubleshooting
estructurado:
1. Informe del problema. Normalmente viene dado por alguien que
hace uso de los recursos de la red y casi siempre será información
poco precisa, e incluso errónea. El que alguien reporte un problema
tiene que servir, sobre todo, para ser capaz de identificar qué parte de
la red ha sido afectada, qué dispositivos, o qué grupo es responsable de
la avería.
2. Recopilación de información. Una vez que el error ha sido reportado
y se piensa haber identificado la parte de la red que tiene el problema,
se ha de recopilar tanta información como sea posible, tanto de los
dispositivos afectados, como logs, histórico de cambios realizados, etc.
En caso de que haya dispositivos de red a los que no se tenga acceso
será necesario ponerse en contacto con los grupos correspondientes
para solicitar dicha información.
3. Examinar la información recopilada. Una vez recopilada toda la
información necesaria se debe analizar exhaustivamente, estando
siempre pendientes de:
Identificar causas que apunten al problema raíz.
Eliminar información que sea innecesaria.
Dependiendo del grado de experiencia del administrador se deben
efectuar seguidamente algunas preguntas que se contestarán de manera
más o menos rápida, necesitando para ello analizar toda la información
recopilada, o simplemente mirando el comportamiento de los
protocolos de la red, etc.
¿Qué es lo que está pasando en la red?
¿Qué debería estar pasando?, ¿cómo debería estar
funcionando?
4. Eliminar causas potenciales. Una vez examinados los datos se debe
descartar la información relativa a causas que no sean propias del
problema y, lo que es muy importante, no imaginar ni querer formular
hipótesis basadas en datos que no están en la información recopilada.
5. Crear una hipótesis de la causa. Una vez eliminadas las causas
potenciales, centrarse únicamente en la que se crea sea la definitiva.
En caso de que se tenga acceso al dispositivo se procederá a intentar
solucionar el problema. En caso de que no tener acceso al dispositivo
se deberá buscar una solución alternativa a través del administrador de
red correspondiente.
6. Verificación de la hipótesis. Una vez conocida la causa se puede
intentar resolverla. Es importante pensar cómo actuar debido a que el
hecho de implementar la solución inmediatamente puede provocar
cortes en la red, entonces quizás sea mejor planificar la intervención
para un momento más adecuado: por la noche o cuando el impacto sea
mínimo.
Es de vital importancia documentar todos los cambios que se apliquen
para que, en caso de que la solución pensada no resuelva el problema,
sea posible dar marcha atrás y pensar en otra solución.
7. Resolución del problema. Una vez resuelto el problema se debe dejar
claramente documentado y todas las partes implicadas han de recibir
una explicación de lo ocurrido y cómo se resolvió.
:CASO PRÁCTICO
Prueba de conectividad TCP/IP
Imagine que desea comprobar la conectividad de un host, usted enviará un
ping a la dirección IP del host en cuestión esperando algún tipo de respuesta
o mensaje de error (protocolo ICMP).
El host emisor debe conocer las direcciones físicas y lógicas del destino.
Antes de enviar el ping buscará en su tabla ARP la dirección MAC del
destinatario. Si este no supiera cuál es la dirección física de aquel, enviará
una petición ARP con la dirección IP del receptor y la MAC en forma de
broadcast. El receptor responderá con su MAC haciendo posible que el
emisor agregue a su tabla esa dirección y envíe por fin el PING. Si el host
destino está dentro de otra red, quien responde en este caso es el router
entregando su propia MAC para recibir el paquete y conmutarlo a la red
correspondiente, es lo que se llama ARP Proxy.
Desde su PC abra una ventana de línea de comandos, ejecute ipconfig para
verificar su configuración. Ejecute arp –a para ver el contenido de la tabla
ARP.
Ejecute un ping al host de destino y vuelva a ejecutar arp –a. Verifique las
diferencias entre la tabla anterior y la actual.
Otros sistemas operativos como MAC OS ofrecen además de una consola de
terminal, aplicaciones específicas para ejecutar pruebas de red como ping,
traceroute, netstat, etc.
FUNDAMENTOS PARA EL EXAMEN
Este capítulo resulta extremadamente teórico, incluso puede llegar a ser
aburrido si se tienen conocimientos básicos sobre redes. Sin embargo, es
fundamental entender el principio de la división en capas de una red, los
modelos utilizados y los protocolos principales que resultan básicos y
primordiales. Conocer el modelo OSI le ayudará a identificar problemas e
incluso le ayudarán a determinar a qué departamento corresponde la solución
de la incidencia (redes, sistema, desarrollo, etc.).
Tenga una idea clara sobre las siete capas del modelo OSI, las
funciones en la red para que se usan y los protocolos asociados a cada
una.
Analice las diferencias entre los dispositivos de cada capa del modelo
OSI, cuáles son sus funciones y para qué se aplican en cada caso.
Recuerde las posibles causas que pueden generar congestión en una
LAN. Cómo, de ser posible, evitarlo.
Tenga en cuenta las diferencias entre dominio de colisión y dominio
de broadcast y los dispositivos asociados a cada uno.
Recuerde la diferencia entre orientado a conexión y no orientado a
conexión y los protocolos a que hacen referencia.
Sepa diferenciar entre los tipos de cableado Ethernet y sus estándares,
además de saber distinguir en cada caso cuál utilizar según los
dispositivos a conectar.
Tenga en cuenta las características, campos y tamaño de la trama
Ethernet.
Recuerde las funciones de cada capa del modelo jerárquico de Cisco,
para qué se aplican y los dispositivos asociados.
Recuerde las cuatro capas del modelo TCP/IP, sus funciones y los
protocolos asociados a cada una.
Sepa cuáles son las diferencias entre el modelo TCP/IP y el modelo
OSI. Analice y compare sus capas.
Tenga en cuenta las diferencias fundamentales entre TCP y UDP,
control de flujo, ACK, ventanas y ventanas deslizantes.
Recuerde las diferencias entre el modelo de tres capas y el modelo de
core colapsado.
Analice y recuerde los pasos para un procedimiento de
troubleshooting.
2
DIRECCIONAMIENTO IP
NÚMEROS BINARIOS
Los dispositivos emiten y reciben pulsos eléctricos o luminosos. Estos pulsos
poseen dos estados, SÍ y NO. Este sistema de dos signos se le llama binario.
Matemáticamente hablando un sistema binario está compuesto por dos
estados de unos y ceros siendo, por tanto, una potencia en base 2. En
informática se llama bits a la unidad que tiene también dos estados; un byte
es un grupo de ocho bits.
Un octeto o un byte se expresa de la siguiente manera:
00000000
Cada uno de estos bits que componen el octeto posee dos estados, 1 y 0,
obteniendo, por tanto, 256 estados con todas las combinaciones posibles.
00000000=0
00000001=1
00000010=2
00000011=3
00000100=4
00000101=5
00000110=6
……..…..…
11111110=254
11111111=255
Para que estos bits sean más entendibles conviene trasladarlos al modo
decimal al que se está más acostumbrado cotidianamente, por tanto, si son
potencias de 2, su valor será:
27 26 25 24 23 22 21 20
20 = 1
21 = 2
22 = 4
23 = 8
24 = 16
25 = 32
26 = 64
27 = 128
Los bits que resulten iguales a 1 tendrán el valor correspondiente a esa
potencia, mientras que los que permanezcan en 0 tendrán un valor igual a
cero, finalmente se suma el conjunto de los decimales resultantes y se obtiene
el equivalente en decimal.
Conversión de binario a decimal
Para pasar de binario a decimal es posible utilizar la siguiente técnica:
0000001 (en binario) = 00000020 (en decimal) =1
En el octeto: 0+0+0+0+0+0+0+1
01001001 (en binario) = 02600230020(en decimal) = 73
En el octeto: 0+64+0+0+8+0+0+1
Dígito binario 8º 7º 6º 5º 4º 3º 2º 1º
Potencia de dos 27 26 25 24 23 22 21 20
Valor decimal 128 64 32 16 8 4 2 1
Conversión de decimal a binario
Para pasar de decimal a binario es posible utilizar la siguiente técnica, por
ejemplo:
Convertir a binario el número decimal 195:
Valor binario Acción Resta Resultado128 ¿Entra en 195? 195-128 Sí = 67
64 ¿Entra en 67? 67-64 Sí = 3
32 ¿Entra en 3? 3-32 No, siguiente
16 ¿Entra en 3? 3-16 No, siguiente
8 ¿Entra en 3? 3-8 No, siguiente
4 ¿Entra en 3? 3-4 No, siguiente
2 ¿Entra en 3? 3-2 Sí = 1
1 ¿Entra en 1? 1-1 Sí = 1
Donde los SÍ equivalen al valor binario 1 y los NO al valor binario 0.
Por lo tanto, 195 es equivalente en binario a 11000011.
NÚMEROS HEXADECIMALES
Los números hexadecimales se basan en potencias de 16, utilizando símbolos
alfanuméricos, la siguiente tabla le ayudará a convertir números
hexadecimales en binarios o en decimales:
Número decimal Número hexadecimal Número binario
0 0 0000
1 1 0001
2 2 0010
3 3 0011
4 4 0100
5 5 0101
6 6 0110
7 7 0111
8 8 1000
9 9 1001
10 A 1010
11 B 1011
12 C 1100
13 D 1101
14 E 1110
15 F 1111
Tabla de conversión de números hexadecimales a binarios y decimales
Conversión de números hexadecimales
Siguiendo el ejemplo anterior, el número 195 es igual al número binario:
11000011
Divida este octeto en dos grupos de cuatro: 1100 0011
Busque el valor correspondiente en la tabla de estos dos grupos de bits.
Al número binario 1100 le corresponde el número hexadecimal C.
Al número binario 0011 le corresponde el número hexadecimal 3.
Por lo tanto, 195 es igual a 11000011 en binario y al C3 en hexadecimal. Para
que no existan confusiones los números hexadecimales se identifican con un
0x delante, en este caso 0xC3.
El proceso inverso será, por ejemplo, el número hexadecimal 0xAE donde:
A es igual a 1010
E es igual a 1110
Por lo tanto, 0xAE es igual el número binario 10101110 si se convierte este
número a decimal:
27+0+25+0+23+22+21+0 = 174
NOTA:
Existen varias técnicas para hacer conversiones de un sistema numérico a otro; un
matemático, un físico o un informático podrían utilizar diferentes métodos de conversión con
iguales resultados. El estudiante podrá utilizar el método que crea más conveniente según su
propio criterio.
DIRECCIONAMIENTO IPV4
Para que dos dispositivos se comuniquen entre sí, es necesario poder
identificarlos claramente. Una dirección IPv4 es una secuencia de unos y
ceros de 32 bits. Para hacer más comprensible el direccionamiento, una
dirección IP aparece escrita en forma de cuatro números decimales separados
por puntos. La notación decimal punteada es un método más sencillo de
comprender que el método binario de unos y ceros.
Esta notación decimal punteada también evita que se produzca una gran
cantidad de errores por transposición, que sí se produciría si solo se utilizaran
números binarios. El uso de decimales separados por puntos permite una
mejor comprensión de los patrones numéricos.
Una dirección IPv4 consta de dos partes definidas por la llamada máscara de
red. La máscara puede describirse a través de una notación decimal punteada
o con el prefijo /X, donde X es igual a la cantidad de bits en 1 que contiene
dicha máscara. Una parte identifica la red donde se conecta el sistema y la
segunda identifica el sistema en particular de esa red. Este tipo de dirección
recibe el nombre de dirección jerárquica porque contiene diferentes niveles.
Una dirección IPv4 combina estos dos identificadores en un solo número.
Este número debe ser exclusivo, porque las direcciones repetidas harían
imposible el enrutamiento. La primera parte identifica la dirección de la red
del sistema. La segunda parte, la del host, identifica qué máquina en
particular de la red.
Dirección IP 172.16.1.3
Máscara 255.255.0.0
172 16 1 3
10101100 00010000 00000001 00000011
255 255 0 0
11111111 11111111 00000000 00000000
Porción de red Porción de host
Ejemplo de una dirección IPv4
Tipos de direcciones IPv4
Dentro del rango de direcciones de cada red IPv4, existen tres tipos de
direcciones:
Dirección de red: la dirección en la que se hace referencia a la red o
subred.
Dirección de broadcast: una dirección especial que se utiliza para
enviar datos a todos los hosts de la red.
Direcciones host: las direcciones asignadas a los dispositivos finales
de la red.
Tipos de comunicación IPv4
En una red IPv4, los hosts pueden comunicarse de tres maneras diferentes:
Unicast: es el método por el cual se envía un paquete de un host
individual a otro host individual. La comunicación unicast se usa para
una comunicación normal de host a host, tanto en una red de
cliente/servidor como en una red punto a punto. Los paquetes unicast
utilizan la dirección host del dispositivo de destino como la dirección
de destino y pueden enrutarse a través de una internetwork. El envío
unicast está habilitado por defecto, es el más común de los tres tipos de
direccionamiento, mientras que los paquetes broadcast y multicast
usan direcciones especiales como dirección de destino. Al utilizar estas
direcciones especiales, los broadcasts están generalmente restringidos
a la red local.
Broadcast: el método por el cual se envía un paquete de un host a
todos los hosts de la red. Existe un direccionamiento particular cuando
los bits de la dirección de host están todos en la llamada dirección de
broadcast, o de difusión. Este direccionamiento identifica al host
origen, mientras que como destino tiene a todos los dispositivos que
integran el mismo dominio. Las NIC están programadas para escuchar
todo el tráfico y de esa manera reconocer el que está destinado a la
propia dirección local MAC o la dirección MAC de broadcast y, así,
enviar las tramas a las capas superiores. Una cantidad excesiva de
estas difusiones provocará una tormenta de broadcast que hará
ineficiente el uso de la red, consumiendo gran cantidad de ancho de
banda y haciendo que los hosts utilicen demasiados recursos al estar
“obligados” a leer esos paquetes, ya que están dirigidos a todos los
hosts que integran ese dominio de broadcast. Existen protocolos de
enrutamiento que utilizan broadcasts para distribuir la información de
enrutamiento. En lugar de requerir varios paquetes unicast
simplemente se envía un paquete que alcanza a todos los dispositivos.
Multicast: es el mecanismo , por el cual se envía un paquete de un
host a un grupo seleccionado de hosts. Un dispositivo IP se une a un
grupo reconociendo una dirección IP de otro grupo y reprogramando
su tarjeta de red (NIC) para copiar todo el tráfico destinado a la
dirección MAC del grupo. Debido a que el tráfico multicast está
dirigido a diferentes MAC algunos hosts prestarán atención mientras
que otros lo ignorarán. El tráfico multicast generalmente es
unidireccional, hay un origen que envía el tráfico a todos los destinos,
mientras que éstos devuelven el tráfico de manera unicast. El tráfico
multicast solamente es procesado por los hosts que están programados
para recibirlo.
Estos tres tipos de comunicación se usan con diferentes objetivos en las redes
de datos. En los tres casos, se coloca la dirección IPv4 del host de origen en
el encabezado del paquete como la dirección de origen.
NOTA:
Para esta certificación, todas las comunicaciones entre dispositivos son comunicaciones
unicast a menos que se indique lo contrario.
CLASES DE DIRECCIONES IPV4
La RFC1700 agrupa rangos de direcciones unicast en tamaños específicos
llamados direcciones de clase. Las direcciones IPv4 se dividen en clases para
definir las redes de tamaño pequeño, mediano y grande. Las direcciones
Clase A se asignan a las redes de mayor tamaño. Las direcciones Clase B se
utilizan para las redes de tamaño medio y las de Clase C para redes pequeñas.
Dentro de cada rango existen direcciones llamadas privadas para uso interno
que no veremos en Internet. Las direcciones de clase D son de uso multicast y
las de clase E, experimentales.
Direccionamiento Clase A:
Rango de direcciones IP: 1.0.0.0 a 127.0.0.0
Máscara de red: 255.0.0.0 o /8
Direcciones privadas: 10.0.0.0 a 10.255.255.255
Direccionamiento Clase B:
Rango de direcciones IP: 128.0.0.0 a 191.255.0.0
Máscara de red: 255.255.0.0 o /16
Direcciones privadas: 172.16.0.0 a 172.31.255.255
Direccionamiento Clase C:
Rango de direcciones IP: 192.0.0.0 a 223.255.255.0
Máscara de red: 255.255.255.0 o/24
Direcciones privadas: 192.168.0.0 a 192.168.255.255
Direccionamiento Clase D:
Rango de direcciones IP: 224.0.0.0 a 239.255.255.255
Uso multicast o multidifusión
Direccionamiento Clase E:
Rango de direcciones IP: 240.0.0.0 a 254.255.255.255
Uso experimental o científico
En números binarios:
Las clases A comienzan con 00xxxxxx
Las clases B comienzan con 10xxxxxx
Las clases C comienzan con 11xxxxxx
Las clases D comienzan con 111xxxxx
Las clases E comienzan con 1111xxxx
Direcciones reservadas IPv4
Hay determinadas direcciones , que no pueden asignarse a los hosts por
varios motivos. También hay direcciones especiales que pueden asignarse a
los hosts pero con restricciones en la interacción de dichos hosts dentro de la
red.
Direcciones de red y de broadcast: no es posible asignar la primera
ni la última dirección a los hosts dentro de cada red. Éstas son,
respectivamente, la dirección de red y la dirección de broadcast del
rango de host.
Ruta predeterminada: la ruta predeterminada IPv4 se representa
como 0.0.0.0. La ruta predeterminada se usa como ruta por defecto
cuando no se dispone de una ruta más específica. El uso de esta
dirección también reserva todas las direcciones en el bloque de
direcciones 0.0.0.0 al 0.255.255.255 (0.0.0.0 /8).
Loopback: es una de las direcciones reservadas IPv4. La dirección de
loopback 127.0.0.1 es una dirección especial que los hosts utilizan
para dirigir el tráfico hacia ellos mismos. La dirección de loopback
crea un método de acceso directo para las aplicaciones y servicios
TCP/IP que se ejecutan en el mismo dispositivo para comunicarse
entre sí. Al utilizar la dirección de loopback en lugar de la dirección
host IPv4 asignada, dos servicios en el mismo host pueden desviar las
capas inferiores de la pila TCP/IP. También es posible hacer ping a la
dirección de loopback para probar la configuración de TCP/IP en el
host local.
Direcciones link-local: las direcciones IPv4 del bloque de direcciones
desde 169.254.0.0 hasta 169.254.255.255 (169.254.0.0 /16) se
encuentran designadas como direcciones link-local. El sistema
operativo puede asignar automáticamente estas direcciones al host
local en entornos donde no se dispone de una configuración IP. Se
puede usar en una red de punto a punto o para un host que no pudo
obtener automáticamente una dirección de un servidor de protocolo de
configuración dinámica de host (DHCP).
Subredes
Las redes IPv4 se pueden dividir en redes más pequeñas, para el mayor
aprovechamiento de las mismas, son las llamadas subredes, además de contar
con esta flexibilidad, la división en subredes permite que el administrador de
la red brinde contención de broadcast y seguridad de bajo nivel en la LAN.
La división en subredes, además, ofrece seguridad ya que el acceso a las otras
subredes está disponible solamente a través de los servicios de un router. Las
clases de direcciones IP disponen de 256 a 16,8 millones de hosts según su
clase.
El proceso de creación de subredes comienza pidiendo “prestado” al rango de
host la cantidad de bits necesaria para la cantidad de subredes requeridas. Se
debe tener especial cuidado en esta acción de pedir ya que deben quedar
como mínimo dos bits del rango de host.
La máxima cantidad de bits disponibles para este propósito depende del tipo
de clase:
Clase A, cantidad disponible 22 bits.
Clase B, cantidad disponible 14 bits.
Clase C, cantidad disponible 6 bits.
Cada bit que se toma del rango de host posee dos estados, 0 y 1, por lo tanto,
si se toman tres bits existirán 8 estados diferentes:
Bits prestados Bits de host Valor decimal
000 00000 0
001 00000 32
010 00000 64
011 00000 96
100 00000 128
101 00000 160
110 00000 192
111 00000 224
El número de subredes que se puede usar es igual a: 2 elevado a la potencia
del número de bits asignados a subred.
2N = Número de subredes
Donde N es la cantidad de bits tomados al rango de host.
Por lo tanto, si se quieren crear 5 subredes, es decir, cumpliendo la fórmula
2N, tendrá que tomar del rango de host 3 bits:
23 = 8
Observe que no siempre el resultado es exacto, en este caso se pedían 5
subredes pero se obtendrán 8.
Procedimiento para la creación de subredes
1. Piense en binarios.
2. Encuentre la máscara adecuada para la cantidad de subredes que le
solicitan, independientemente de la dirección IP, lo que nos
importa es la cantidad de bits libres.
Razone, por ejemplo red clase C, el primer octeto, el segundo y el
tercero corresponden a la dirección de red, por lo tanto, trabaje con el
cuarto octeto correspondiente a los hosts. De izquierda a derecha tome
la cantidad de bits necesarios de la máscara para la cantidad de
subredes que le solicitan:
Crear 10 subredes a partir de una red Clase C. Recuerde que no
siempre los valores son exactos, en este caso el resultado será 16.
Según la formula 2N debemos tomar 4 bits del rango de host, por lo
tanto:
24 = 16
Máscara de red 255.255.255.0
Rango de red Rango de host
11111111.11111111.11111111.00000000
Cuarto octeto 00000000
11110000
Coloque en 1 (uno) los bits que resultaron de la operación anterior y
súmelos, recuerde el valor de cada bit dentro del octeto: 128, 64, 32,
16, 8, 4, 2, 1
Se obtiene:
11110000
128+64+32+16+0+0+0+0 = 240
La máscara de subred de clase C para obtener 10 subredes válidas es:
255.255.255.240
3. Identifique las correspondientes direcciones IP de las subredes
restando a 256, que es la cantidad máxima de combinaciones que
tiene un octeto (0 a 255), el valor de la máscara obtenida. Este
número será la dirección de la primera subred que a su vez es el
incremento o la constante para determinar las siguientes subredes.
256-240 = 16
El resultado indica la primera dirección de subred, en este caso 16.
Número de subred Valor del octeto Incremento Valor decimal
1º 00000000 0
2º 00010000 0+16 16
3º 00100000 16+16 32
4º 00110000 32+16 48
5º 01000000 48+16 64
6º 01010000 64+16 80
7º 01100000 80+16 96
8º 01110000 96+16 112
9º 10000000 112+16 128
10º 10010000 128+16 144
11º 10100000 144+16 160
12º 10110000 160+16 176
13º 11000000 176+16 192
14º 11010000 176+16 208
15º 11100000 208+16 224
16º 11110000 224+16 240
El incremento constante en este caso será de 16
4. Obtenga las direcciones IP de las subredes (observe el cuadro
anterior).
Dirección IP de la red original: 192.168.1.0 255.255.255.0
Dirección IP de la 1ª subred: 192.168.1.0 255.255.255.240
Dirección IP de la 2ª subred: 192.168.1.16 255.255.255.240
Dirección IP de la 3ª subred: 192.168.1.32 255.255.255.240
Dirección IP de la 4ª subred: 192.168.1.48 255.255.255.240
…………………………………………………………………………
Dirección IP de la 15ª subred: 192.168.1.224 255.255.255.240
Dirección IP de la 16ª subred: 192.168.1.240 255.255.255.240
Otra forma de identificar las máscaras es sumar los bits en uno y
colocarlos detrás de la dirección IP separados por una barra:
Dirección IP de la red original: 192.168.1.0/24
Dirección IP de la 1ª subred: 192.168.1.0/28
Dirección IP de la 2ª subred: 192.168.1.16/28
Dirección IP de la 3ª subred: 192.168.1.32/28
Dirección IP de la 4ª subred: 192.168.1.48/28
…………………………………………………………………………
Dirección IP de la 15ª subred: 192.168.1.224/28
Dirección IP de la 14ª subred: 192.168.1.240/28
5. Identifique el rango de host que integran las subredes. Hasta ahora
se ha trabajado con los bits del rango de red, es decir de izquierda
a derecha en el octeto correspondiente, ahora lo haremos con los
bits restantes del rango de host, es decir de derecha a izquierda.
Tomemos como ejemplo la subred 196.168.1.16/28 y apliquemos la
fórmula 2N-2, nos han quedado 4 bits libres, por lo tanto:
24-2=16-2=14
Estas subredes tendrán 14 host válidos utilizables en cada una.
Número de host Valor del octeto Valor decimal
00010000 Subred 16
1º 00010001 Host 17
2º 00010010 Host 18
3º 00010011 Host 19
4º 00010100 Host 20
5º 00010101 Host 21
6º 00010110 Host 22
7º 00010111 Host 23
8º 00011000 Host 24
9º 00011001 Host 25
10º 00011010 Host 26
11º 00011011 Host 27
12º 00011100 Host 28
13º 00011101 Host 29
14º 00011110Host 30
15º 00011111 Broadcast 31
El rango de host válido para la subred 192.168.1.16/28 será:
192.168.1.17 al 192.168.1.30
El mismo procedimiento se lleva a cabo con el resto de las subredes:
Nº de subred Rango de host válidos Broadcast
192.168.1.0 1 al 14 15
192.168.1.16 17 al 30 31
192.168.1.32 31 al 62 63
192.168.1.64 65 al 78 79
192.168.1.80 81 al 94 95
192.168.1.96 97 al 110 111
192.168.1.112 113 al 126 127
192.168.1.128 129 al 142 143
192.168.1.144 145 al 158 159
192.168.1.160 161 al 174 175
192.168.1.176 177 al 190 191
192.168.1.192 193 al 206 207
192.168.1.208 209 al 222 223
192.168.1.224 225 al 238 239
192.168.1.240 241 al 254 255
RECUERDE:
Paso 1. Piense en binarios.
Paso 2. Encuentre la máscara contando de izquierda a derecha los bits que tomará
prestados del rango de host. Cada uno tendrá dos estados, un bit dos subredes, dos bits
cuatro subredes, tres bits ocho subredes, etc.
Paso 3. Reste a 256 la suma de los bits que ha tomado en el paso anterior para obtener el
incremento para las siguientes subredes.
Paso 4. Obtenga las direcciones IP de las subredes siguientes sumando a la “subred 0” el
incremento para obtener la siguiente y así hasta la última.
Paso 5. Identifique el rango de host y la correspondiente dirección de broadcast de cada
subred.
RECUERDE:
Clase A:
Red Host Máscara de red
10 0 0 0 255 0 0 0
Clase B:
Red Host Máscara de red
172 16 0 0 255 255 0 0
Clase C:
Red Host Máscara de red
192 168 0 0 255 255 255 0
RECUERDE:
Las diferentes clases de redes se pueden identificar fácilmente en números binarios
observando el comienzo del primer octeto, puesto que:
Las clases A comienzan con 00xxxxxx
Las clases B comienzan con 10xxxxxx
Las clases C comienzan con 11xxxxxx
Las clases D comienzan con 111xxxxx
Las clases E comienzan con 1111xxxx
NOTA:
La dirección de broadcast de una subred será la inmediatamente inferior a la subred
siguiente. La máscara con todos los bits en 1 se denomina máscara de host e identifica un
host en particular. Por lo tanto, para IPv4 podría ser /32 o para IPv6 que podría ser /128.
ESCALABILIDAD DEL DIRECCIONAMIENTO IPV4
Una de las razones de que el direccionamiento IPv4 sea demasiado escaso es
que no ha sido asignado eficientemente. Las direcciones de clase A son
excesivamente grandes para la mayoría de las organizaciones ya que soportan
unas 16.777.214 direcciones de host, mientras que las direcciones de clase C
soportan solo 254 direcciones de host. Como resultado de esto muchas
organizaciones hacen peticiones de clase B que soportan 65.534 direcciones
de host, pero hacen solo un uso parcial de dicho rango.
Inicialmente un dispositivo IP requería una dirección pública. Para prevenir
el agotamiento de las direcciones IPv4 la IETF (Internet Engineering Task
Force) adoptó el uso de CIDR (Classless Interdomain Routing), VLSM
(Variable-Length Subnet Mask) y NAT (Network Address Translation).
CIDR y VLSM trabajan juntas a la hora de mejorar el direccionamiento,
mientras que NAT oculta clientes y minimiza la necesidad de direcciones
públicas. Otra de las razones de escasez de direcciones públicas es que no
han sido asignadas equitativamente a lo largo del mundo.
Máscaras de subred de longitud variable
El crecimiento exponencial de las redes ha hecho que el direccionamiento
IPv4 no permita un desarrollo y una escalabilidad acorde a lo deseado por los
administradores de red. IPv4 pronto será reemplazado por IP versión 6 (IPv6)
como protocolo dominante de Internet. IPv6 posee un espacio de
direccionamiento prácticamente ilimitado y algunos administradores ya han
empezado a implementarlo en sus redes. Para dar soporte al direccionamiento
IPv4 se ha creado VLSM (Variable Length Subnet Masking) que permite
incluir más de una máscara de subred dentro de una misma dirección de red.
VLSM es soportado únicamente por protocolos sin clase tales como OSPF,
RIPv2 y EIGRP.
El uso de las máscaras de subred de longitud variable permite el uso más
eficaz del direccionamiento IP. Al permitir niveles de jerarquía se pueden
resumir diferentes direcciones en una sola, evitando gran cantidad de
actualizaciones de ruta.
Por ejemplo, la red 192.168.1.0/24 debe dividirse en subredes utilizando una
máscara de subred de 28 bits. Hasta ahora la primera subred utilizable era la
192.168.1.16/28; configurando el router con el comando ip subnet-zero la
dirección IP 192.168.1.0/28 será una dirección válida pudiendo sumar 14 host
válidos más al direccionamiento total.
Siguiendo el esquema de direccionamiento anterior una de las subredes que
surgen de la división se utilizará para un enlace serial entre dos routers. En
este caso la máscara de 28 bits permite el uso válido de 14 host
desperdiciándose 12 direcciones de host para este enlace. El uso de VLSM
permite volver a dividir más subredes en otra subred, en este caso la máscara
ideal sería una /30.
Por lo tanto, la red 192.168.1.0/24 será dividida en 16 subredes, se obtienen
las siguientes direcciones:
192.168.1.0/28
192.168.1.16/28
192.168.1.32/28
192.168.1.48/28
192.168.1.64/28
192.168.1.80/28
192.168.1.96/28
192.168.1.112/28
192.168.1.128/28
192.168.1.144/28
192.168.1.160/28
192.168.1.176/28
192.168.1.192/28
192.168.1.208/28
192.168.1.224/28
192.168.1.240/28
Observe que se tomará en cuenta la 192.168.1.0 al configurar el comando ip subnet-zero
Para el enlace serial entre los routers se utilizará una máscara que permita el
uso de dos hosts (/30). Elija una de las subredes creadas en el paso anterior,
esta subred elegida NO podrá utilizarse con la máscara /28 puesto que se
seguirá dividiendo en subredes más pequeñas.
1. Piense en binario.
2. La red 192.168.1.0/24 se divide en subredes con una máscara /28,
escriba en binario el último octeto.
3. Elija una de las subredes para dividirla con una máscara /30, en
este caso la 128. Trace una línea que separe los bits con la
máscara /28 y otra que separe los bits con máscara /30. Las
subredes se obtienen haciendo las combinaciones
correspondientes entre el primer bit (128) y los contenidos entre
las dos paralelas.
4. Las direcciones de host se obtienen haciendo la combinación con
los dos bits libres en cada una de las subredes obtenidas.
Ejemplo con una red Clase B:
La red 172.16.0.0/16 se debe dividir en redes más pequeñas:
La red 172.16.0.0/16 se divide utilizando una máscara /21,
172.16.0.0/21, 172.16.8.0/21, 172.16.16.0/21, 172.16.24.0/21, etc.,
para seguir el proceso elija una, por ejemplo:
172.16.8.0/21 se divide en subredes con una máscara /24,
172.16.8.0/24, 172.16.9.0/24, 172.16.10.0/24, etc. para seguir el
proceso elija una, por ejemplo:
172.16.10.0/24 se divide en subredes con una máscara /26,
172.16.10.0/26, 172.16.10.64/26, 172.16.10.128/26, 172.16.10.192/26,
etc. para seguir el proceso elija por ejemplo la:
172.16.10.128/26 se divide en subredes con una máscara /30,
172.16.10.128/30, 172.16.10.132/30, 172.128.10.136/30, etc. para
seguir el proceso elija una, por ejemplo:
172.16.10.132/30 en este caso las direcciones de host serán la
172.16.10.133/30 y la 172.16.10.134/30.
En binarios:
El rango de red/subred se va ampliando mientras el rango de host disminuye a medida que
se siguen dividiendo en más subredes
Enrutamiento entre dominios sin clase
El CIDR (Classless Inter-Domain Routing) definido en la RFC 4632 consiste
en la capacidad de un router para utilizar protocolos que no consideran las
clases como los límites naturales de las subredes. En otras palabras, CIDR
significa que un protocolo de enrutamiento tiene en cuenta el
direccionamiento VLSM en sus actualizaciones de enrutamiento y puede
enviar actualizaciones incluyendo las máscaras de subred. El objetivo de
CIDR es permitir un esquema de sumarización flexible, en especial para los
routers de backbone de Internet cuya tabla de enrutamiento es tan grande que
están llegando a su límite antes de tiempo.
En CIDR, una red IP se representa mediante un prefijo, es decir una dirección
IP y alguna indicación de la longitud de la máscara. Longitud significa el
númerode bits de la máscara más a la izquierda contiguos que se establecen a
uno. Por ejemplo la red 172.16.0.0 255.255.0.0 se puede representar como la
172.16.0.0/16. CIDR también representa una arquitectura más jerárquica de
Internet, donde cada dominio obtiene sus direcciones IP a partir de un nivel
superior, de tal forma que el resumen de las rutas ocurra en dicho nivel
superior.
Por ejemplo, si un ISP (Internet Service Provider) es propietario de la red
183.58.0.0/16, podrá otorgar las subredes 183.58.1.0/24, 183.58.2.0/24, y así
sucesivamente para los clientes. Sin embargo, otros proveedores cuando
intenten llegar a estas subredes solo lo harán a través de la 183.58.0.0/16.
Los ISP 2, ISP 3 y ISP 4 solo tienen conocimiento de la red 183.58.0.0/16 a través del ISP 1,
de tal forma de no sobrecargar sus tablas de enrutamiento
Resumen de ruta
El resumen de ruta, o sumarización, reduce la cantidad de rutas que un router
debe mantener en sus tablas anunciando y manteniendo una sola dirección
que contenga a las demás.
Este es el proceso que utiliza un router a través de un protocolo de
enrutamiento para enviar actualizaciones de enrutamiento en las que una
dirección de red representa la conectividad con varias redes que tienen un
prefijo común. El principio básico de funcionamiento es que si un router tiene
detrás varias redes o subredes que tienen una porción de su parte de red igual
entre sí, este router puede enviar en sus actualizaciones de enrutamiento hacia
otros dispositivos con una sola dirección de red para todas las redes que
tienen el mismo prefijo, entonces esa dirección especial es la parte que tienen
en común, como si fuera una sola subred con la máscara indicando la parte en
común de las que tiene detrás suyo.
El router de resumen tiene múltiples entradas de redes consecutivas, siendo este el principal
factor en el resumen de ruta, pero solo anunciará al router remoto la red que contiene a todas
las demás
La diferencia entre VLSM y la sumarización es para qué se utilizan y tienen
en común la idea de que las máscaras variables hacen posible la sumarización
y la sumarización es la base del enrutamiento sin clase.
Imagine que un router posee un rango de redes directamente conectadas, de la
172.16.168.0/24 a la 172.16.175.0/24. El router buscará el bit común más alto
para determinar cuál será el resumen de ruta con la máscara más pequeña
posible.
En binarios:
Dirección de subred Primer octeto Segundo octeto Tercer octeto Cuarto octeto
172.16.168.0/24 10101100 00010000 10101 000 00000000
172.16.169.0/24 10101100 00010000 10101 001 00000000
172.16.170.0/24 10101100 00010000 10101 010 00000000
172.16.171.0/24 10101100 00010000 10101 011 00000000
172.16.172.0/24 10101100 00010000 10101 100 00000000
172.16.173.0/24 10101100 00010000 10101 101 00000000
172.16.174.0/24 10101100 00010000 10101 110 00000000
172.16.175.0/24 10101100 00010000 10101 111 00000000
Bits comunes = 21
Resumen 172.16.168.0/21 Bits no comunes o de host
Por lo tanto, para el rango especificado el router utilizará la dirección
172.16.168.0/21 para el resumen de ruta solicitado.
RECUERDE:
Cuando una dirección IP de destino en particular coincide con más de una ruta en una tabla
de enrutamiento del router, el router utiliza la ruta más específica, es decir, la ruta con la
longitud del prefijo más largo.
DIRECCIONAMIENTO IPV6
IPv6 ha estado en desarrollo desde mediados de los 90 y durante varios años.
Se había anunciado al principio como el protocolo que podría expandir el
direccionamiento IP, llevar IP mobile a la madurez y finalmente ser capaz de
incorporar seguridad a nivel de capa 3. Esas afirmaciones son correctas, pero
hay que tener en cuenta que a nivel de capa 3 esas capacidades de IPv6 han
sido aportadas a IPv4 en los pasados años. Actualmente las direcciones IPv4
son escasas y la mayor razón en Internet para evolucionar a IPv6 es la
necesidad de un mayor direccionamiento.
Esta necesidad de direccionamiento IP podría ser atenuada intentando utilizar
CIDR, VLSM, NAT y asignaciones temporales a través de DHCP, pero
teniendo sistemas intermedios manipulando los paquetes complican el diseño
y la resolución de problemas. El concepto del diseño de Internet con
innumerables sistemas intermedios no hace que NAT trabaje adecuadamente,
sin embargo, es un mal necesario.
La longitud de una dirección IPv6 es lo primero que sale a relucir, son 128
bits lo que hace 2128 direcciones IPv6 disponibles. Varias de estas direcciones
dan funciones especiales y están reservadas, pero aun así quedarían
disponibles aproximadamente 5x1028 direcciones IP por cada habitante del
planeta. Lo que permitiría que el direccionamiento pueda crecer sin
preocupaciones en contraposición al direccionamiento IPv4 cuya cantidad
está limitada a 232.
En IPv6 se utiliza una cabecera más simplificada que IPv4, haciendo que el
procesamiento sea más eficiente, permitiendo un mecanismo más flexible y a
su vez extensible a otras características. Una de esas características es la
movilidad, mobile IP es un estándar de la IETF que permite a los usuarios
con dispositivos wireless estar conectados de manera transparente y moverse
a cualquier sitio sin restricciones.
La seguridad es otro tema importante añadido, IPsec está presente en cada
uno de los dispositivos IPv6.
Formato del direccionamiento IPv6
La primera diferencia respecto a IPv4 es que las direcciones IPv6 son de 128
bits y están representadas en un formato hexadecimal en lugar de la notación
decimal tradicional y separada cada parte por dos puntos en lugar de uno.
Teniendo de esta forma 8 partes de 16 bits cada una. Como cada dígito
hexadecimal se asocia con 4 bits, cada campo de 16 bits será de 4 dígitos
hexadecimales.
Un ejemplo de dirección IPv6 puede ser el siguiente:
2001:0000:0001:0002:0000:0000:0000:ABCD
Este formato se puede reducir hasta de optimizar la lectura para su
comprensión. Hay dos formas para conseguir simplificar tanta cantidad de
números:
Todos los 0 a la izquierda de cada uno de los campos pueden ser
omitidos.
2001:0:1:2:0:0:0:ABCD
Se pueden omitir los campos consecutivos de 0 con “::”
independientemente de la cantidad de campos que se abrevie. Este
mecanismo solo puede hacerse una vez debido a que luego no se
podrían reestructurar la cantidad de campos exactamente como eran.
2001:0:1:2::ABCD
NOTA:
La dirección de loopback en IPv6, equivalente al prefijo 127/8 en IPv4, es la que todos los bits
son cero excepto el último y se escribe de forma compacta como “::1”.
Prefijos
Los primeros 48 bits de una dirección IPv6 componen la dirección de red,
dicho de otra forma, los primeros 3 grupos de la dirección (cada grupo es de
16 bits o 4 caracteres hexadecimales). Por lo general, los ISP de cada región
asigna una dirección de red, la cual subdividirán entre todos sus clientes.
Los siguientes 16 bits, o el cuarto grupo de caracteres hexadecimales
conforman la dirección de subred. Esto hace que IPv6 sea mucho más
eficiente a nivel de comunicaciones, puesto que la dirección contiene la
información de origen y destino sin necesidad de hacer cálculos para
averiguarlo o tener que modificar la información transmitida.
La dirección única del dispositivo representa los últimos 64 bits de la
dirección, o los últimos 4 grupos. Este es el identificador único del
dispositivo. Algunos dispositivos utilizan la propia dirección física (MAC).
Es posible combinar el prefijo de red y el identificador de la interfaz en una
sola notación. La representación de prefijos de red en IPv6 es similar a la
notación utilizada en CIDR para los prefijos IPv4, es decir, dirección-
IPv6/longitud-del-prefijo-en-bits.
Se permite el uso de formatos abreviados con “::”
2001:0DB8:7654:3210:0000:0000:0000:0000/64
Se permite el uso de formatos abreviados con “::”
2001:DB8:7654:3210:0:0:0:0/64
2001:DB8:7654:3210::/64
Por lo tanto, esta dirección IPv6 indica que el prefijo de red está constituido
por los primeros 64 bits.
No existen tienen reglas para la asignación de identificadores de subred (SID)dentro de un sitio. Se pueden utilizar varios métodos, como por ejemplo:
Enumerar de forma incremental las subredes: 0001, 0002, ... Esta
técnica es fácil de implementar en las redes experimentales, pero
puede dar lugar a un esquema de direccionamiento plano, difícil de
recordar.
Utilizar el número de VLAN. Permite no tener que memorizar
múltiples niveles de numeración.
Separar los tipos de redes y utilizar las cifras a la izquierda para
designarlos. Esta técnica facilita las reglas de filtrado, utilizando al
mismo tiempo reglas adecuadas para la gestión de estas subredes en el
segmento del lado derecho.
Cabecera IPv6
La cabecera IPv6 es optimizada para procesadores de 32 a 64 bits y las
extensiones de cabecera permiten la expansión sin tener que forzar a que los
campos que no se usan se estén transmitiendo constantemente.
Las principales diferencias entre las cabeceras de las dos versiones es la
longitud de los campos de origen y destino. También hay otros campos que
son aparentes como checksum, fragmentación y la etiqueta de flujo.
Los campos en una cabecera IPv6 son los siguientes:
Version: es un campo de 4 bits que identifica la versión, en este caso a
6.
Traffic Class: similar al campo 2 de IPv4, se utiliza para calidad de
servicio.
Flow Label: campo de 20 bits que permite que el tráfico sea
etiquetado para que se pueda manejar de manera más rápida flujo por
flujo.
Payload Length: campo de 16 bits con la longitud del campo de
datos.
Next Header: similar al campo de protocolo en la cabecera IPv4. Es
un campo de 8 bits que indica cómo los campos después de la cabecera
básica de IPv6 deberían ser interpretados. Podría indicar, por ejemplo,
que el siguiente campo es TCP o UDP ambos relativos a la capa de
transporte o podría indicar que existe una extensión de la cabecera.
Hop Limit: similar al campo TTL en IPv4, es de 8 bits y se
incrementa por cada router intermediario para prevenir bucles, de tal
manera que cuando la cuenta llegue a 0 será descartado. Cuando esto
ocurre se envía un mensaje de notificación al origen.
Source Address y Destination Address: estos campos de 128 bits son
las direcciones IPv6 de origen y de destino de los dispositivos que se
están comunicando.
Extension Headers: permite agregar más campos opcionales.
Hop-by-Hop options: utilizados para routers intermediarios.
Destination options: opciones para el nodo final.
Routing: utilizado para especificar a los routers intermedios
qué ruta tienen que incluir. El efecto final es forzar el
enrutamiento por un camino predefinido.
Fragment: utilizado para dividir los paquetes que son demasiado
largos para la MTU. Esta cabecera reemplaza los campos de
fragmentación de la cabecera IPv4.
Authentication y Encapsulating Security Payload (ESP): se utiliza
por IPsec para proporcionar autenticación, integridad y
confidencialidad de los paquetes. AH y ESP son idénticos en IPv4 y en
IPv6.
TIPOS DE DIRECCIONAMIENTO IPV6
IPv6 reconoce tres tipos de direcciones: unicast, multicast y anycast. El tipo
de dirección define el destino de la comunicación, es decir, a cuántos
receptores debe ser entregado el paquete.
El primero de estos tipos, la dirección unicast, identifica de manera única una
interfaz. Un paquete enviado a ese tipo de dirección será entregado a la
interfaz correspondiente. Entre las direcciones unicast, se pueden distinguir
aquéllas que tienen una cobertura global, es decir, designan sin ambigüedad
un destinatario sobre Internet, y las que tienen cobertura local. Estas últimas
no pueden ser enrutadas sobre Internet. Es decir, un paquete que tenga una
dirección destino con cobertura local, será ignorado y eliminado por un router
de Internet.
Una dirección multicast designa a un grupo de interfaces que pertenecen, en
general, a nodos distintos que pueden ubicarse en cualquier parte de Internet.
Cuando un paquete tiene una dirección destino multicast, éste se envía por la
red a todas las interfaces miembros de ese grupo.
Cabe resaltar que desaparecen las direcciones de broadcast (difusión) que
existían en IPv4; éstas son remplazadas por direcciones tipo multicast. La
dirección de difusión puede ser imitada por una dirección multicast
constituyendo un grupo que incluya todos los nodos. La ausencia de
direcciones de difusión evita los problemas de saturación en las redes locales
conmutadas. Por este motivo una red IPv6 tiene un mejor desempeño sobre
este tipo de redes.
El último tipo de dirección, anycast, se deriva de la oficialización de
propuestas hechas para IPv4 (RFC 1546). Como en el caso multicast, una
dirección de tipo anycast designa un grupo de interfaces. La principal
diferencia consiste en que cuando un paquete tiene una dirección destino
anycast, éste es enviado a alguno de los miembros del grupo, no a todos. El
receptor del paquete podría ser, por ejemplo, el más cercano de acuerdo a la
métrica de usada por los protocolos de enrutamiento. Este tipo de dirección es
principalmente experimental.
Global-Unicast
La escalabilidad de la red es sumamente importante, es directamente
proporcional a la capacidad de sumarización que tiene la red. Tal como
ocurre con IPv4 los bits más a la izquierda indican el prefijo de enrutamiento
y pueden ser sumarizados. Teóricamente existen 264 prefijos IPv6. Si cada
prefijo fuera almacenado en la memoria del router utilizando 256 bits (32
bytes), entonces la tabla de enrutamiento consumiría 5.9x1020 bytes, lo cual es
demasiado. Esto se reduce a la importancia que tiene la sumarización al
momento de construir la tabla de enrutamiento.
La siguiente figura muestra un esquema de una dirección Global IPv6,
definida por la RFC 3587:
Global Prefix Subnet ID Interface ID
/48 /64
Los primeros 48 bits de la dirección Global IPv6 son utilizados para
enrutamiento en Internet en el ISP, los siguientes 16 bits forman el sub-net ID
permitiendo así a una empresa subdividir su red. Los restantes 64 bits son la
interfaz ID en formato EUI-64.
IANA está asignando direcciones que comienzan con el valor binario 001 o
en hexadecimal 2000::/3. Este direccionamiento está designado para
direcciones globales IPv6 unicast. Éste es una octava parte del espacio total
del direccionamiento IPv6. IANA utiliza el rango 2001::/16 para registros,
que normalmente tienen un rango /23 y asigna un rango /32 a los ISP.
Por ejemplo un ISP podría disponer a una organización de la siguiente
dirección 2001:0:1AB::/48. En una subred 5 el prefijo sería
2001:0:1AB:5::/64. En un dispositivo con una MAC 00-0f-66-81-19-a3, el
formato EUI-64 de la interfaz ID será 020F:66FF:FE81:19A3. Finalmente la
dirección IPv6 completa será 2001:0:1AB:5:20F:66FF:FE81:19A3.
Link-Local
Las direcciones unicast de IPv6 locales (Link local) permiten a dispositivos
que estén en la misma red local ser capaces de comunicarse sin necesidad de
asignación de un direccionamiento global. Las direcciones locales son
utilizadas para el enrutamiento y por los procesos de descubrimiento entre
protocolos. Son auto- configuradas utilizando el prefijo FE80::/10 más el
formato EUI-64 ID, según muestra la siguiente figura:
10 bits 54 bits 64 bits
1111 1110 10 0 Interface ID
FE80::/10
Por ejemplo una MAC 00-0f-66-81-19-a3 tendrá una dirección IPv6 Local
FE80::020F:66FF:FE81:19A3.
La RFC 4291 especifica otro tipo de dirección unicast. Las direcciones IPv4
son mapeadas a IPv6 concatenando la dirección 0::FFFF:0:0/96 con una
determinada dirección IPv4. Por ejemplo la dirección 10.0.0.1 se convierte en
0::FFFF:A00:1, debido a que 10.0.0.1 es en hexadecimal 0A00:0001. Estas
direcciones pueden ser utilizadas por los hosts dual-stack, que son aquellos
que utilizan ambos tipos de direccionamiento.
Unique-Local
El RFC 4193 define un nuevo formato de dirección unicast: las direcciones
locales únicas (ULA, Unique Local Address). Estas direcciones son para uso
local. No están pensadas para ser enrutadas en Internet, sino dentro de un área
acotada, como un sitio o un número limitado de sitios. Con un prefijo de 48
bits, pueden ser manipuladas como las direcciones globales,con un
identificador de Subred (SID) de 16 bits y un identificador de interfaz (IID)
de 64 bits.
Las direcciones locales únicas se crean utilizando un identificador global
(Global ID) generado de forma pseudoaleatoria. Estas direcciones tienen el
formato siguiente:
Prefix (7 bits): FC00::/7 prefijo para identificar las direcciones IPv6
locales (ULA).
http://tools.ietf.org/html/rfc4193
L (1 bit): puesto a 1, el prefijo es asignado localmente. El valor 0 está
reservado para usos futuros.
Global ID (40 bits): identificador global utilizado para la creación de
un prefijo “único” (Globally Unique Prefix).
Subnet ID (16 bits): identificador de subred al interior del sitio.
Interface ID (64 bits): el identificador de interfaz, tal como está
definido en Identificador de interfaz.
Multicast
Una dirección de multicast identifica un grupo de interfaces. El tráfico
enviado al grupo llega a todas estas interfaces. Éstas pueden a su vez
pertenecer a varios grupos multicast simultáneamente. Cada interfaz puede
reconocer varias direcciones de multicast incluyendo la dirección all-nodes,
la dirección solicited-nodes o cualquier otra dirección a la que el nodo
pertenezca. Los routers deben ser capaces de reconocer la dirección all-
routers.
El formato de una dirección IPv6 de multicast se ilustra en la siguiente figura:
8 bits 4 bits 4 bits 112 bits
1111 1111 Flag Scope Group ID
FF00::/8
Como se muestra en la figura la dirección IPv6 multicast comienza con el
prefijo FF00::/8 los siguientes 4 bits son identificadores que se describen a
continuación:
1. El primer identificador o bandera es indefinido y siempre tiene el valor
de cero.
2. Conocido como el bit “R” tiene el valor en binario de 1, cuando el RP
esté contenido en el paquete multicast.
3. Conocido como el bit “P” lleva el valor binario 1 en el caso de que la
dirección multicast esté basada en un prefijo unicast.
http://livre.g6.asso.fr/index.php?title=Identificador_de_interfaz&action=edit&redlink=1
4. Es el llamado bit “T”, si la dirección está asignada permanentemente
lleva el valor 0, si por el contrario el valor es 1 la dirección es
temporal.
Los 4 bits después de las banderas indican el ámbito de la dirección limitando
cuán lejos esta dirección multicast es capaz de llegar. En IPv4 se utiliza el
TTL para poder efectuar esta tarea pero no es un mecanismo exacto debido a
que la distancia permitida por el TTL puede ser demasiado larga en una
dirección y demasiado corta en otra. El ámbito en IPv6 es lo suficientemente
flexible como para limitar multicast en un sitio o una empresa determinada.
Los ámbitos están definidos en hexadecimal y son los siguientes:
Valor 1: ámbito interfaz-local, usado para las interfaces loopback.
Valor 2: ámbito link-local, similar al ámbito unicast link-local.
Valor 4: ámbito admin-local; debe ser administrativamente
configurado.
Valor 5: ámbito site-local; solo abarca un sitio.
Valor 8: ámbito organization-local; abarca varios sitios pertenecientes
a múltiples sitios u organizaciones.
Valor E: es de ámbito global.
El ID del grupo multicast son los 112 bits de menor ámbito de la dirección.
Todos los dispositivos deberían reconocer y responder a estas direcciones
multicast de todos los nodos:
FF01::1 correspondiente a la interfaz local.
FF02::1 correspondiente al enlace local.
Las direcciones de multicast solicited-nodes son utilizadas en los mensajes de
solicitud de vecinos y son enviadas en un enlace local por un dispositivo que
quiere determinar la dirección de la capa de enlace de otro dispositivo en el
mismo enlace local. Este mecanismo se asemeja a ARP en IPv4. Una
dirección de multicast solicited-nodes comienza con el prefijo
FF02::1:FF00:/104 y en los últimos 24 bits insertando las direcciones unicast
o anycast del dispositivo.
Los routers deben poder responder a las direcciones multicast all-router:
FF01::2 es la dirección de interfaz local.
FF02::2 es la dirección de enlace local.
FF05::2 es la dirección del sitio local.
Los routers también se unen a otros grupos para soportar protocolos de
enrutamiento como por ejemplo, OSPF versión 3 (OSPFv3) utiliza FF02::5 y
FF02::6, y RIPng (Routing Information Protocol new generation) utiliza
FF02::9.
Anycast
Una dirección de este tipo es una dirección global que está asignada a dos o
más host. Los dispositivos enrutan hacia la dirección más cercana utilizando
la métrica proporcionada por el protocolo de enrutamiento.
Las direcciones anycast son creadas asignando la misma dirección a más de
un dispositivo. No existe un espacio de direccionamiento designado para
anycast. Los dispositivos que emplearán este tipo de dirección deben ser
explícitamente configurados y tiene que saber que la dirección es de anycast.
Todos los routers tienen que soportar la dirección anycast subnet-router para
las subredes en las cuales tienen interfaces. Estas direcciones son las
direcciones de unicast con la porción de la interfaz ID puestas en 0. Los
paquetes enviados a la dirección de anycast subnet-router serán entregados a
un router específico en la subred.
EUI-64
Los ID de una dirección IPv6 son utilizados para identificar de manera única
una interfaz, este segmento de la dirección es llamado porción de host. Estos
ID deben ser únicos en los enlaces, tienen una longitud de 64 bits y pueden
ser creados dinámicamente basándose en la dirección de la capa de enlace.
El tipo de capa de enlace determinará cómo son dinámicamente creadas las
interfaces de IPv6 y cómo funcionará la resolución del direccionamiento.
Para Ethernet la interfaz ID está basada en la dirección MAC de la interfaz en
un formato llamado EUI-64 (Extended Universal Identifier 64-bit). Este
formato deriva de la dirección MAC de 48 bits con el agregado de los
números hexadecimales FFFE entre el OUI y el código de vendedor. El
séptimo bit del primer byte del ID de la interfaz resultante corresponde al bit
universal local (U/L) asume el valor binario 1. Este bit indica si la interfaz ID
es localmente única en ese enlace o universalmente única.
El octavo bit en el primer byte de la interfaz ID corresponde al
individual/group (I/G) que se utiliza para gestionar grupos multicast, en este
caso no varía.
Ethernet transmite los bits de bajo orden de cada byte primero (a la inversa)
el bit U/L es el bit séptimo y el I/G es el octavo de la dirección, por lo tanto el
primer bit de la dirección MAC transmitido será el bit I/G, usado por
direcciones broadcast y multicast y el segundo bit transmitido será el U/L.
Asignación de direcciones IPv6
Las direcciones IPv6 pueden ser asignadas de manera manual o de forma
dinámica usando DHCPv6 o autoconfiguración stateless.
Manual: el administrador es el encargado de asignarlas y
configurarlas manualmente, supone más trabajo y demanda llevar un
registro de las direcciones que han sido asignadas y a qué host.
SLAAC (Stateless Address Autoconfiguration): cada router anuncia
información de red incluyendo el prefijo asignado a cada una de sus
interfaces. Con la información contenida en este anuncio los sistemas
finales crean una dirección única al concatenar el prefijo con el ID en
formato EUI-64 de la interfaz. El nombre stateless viene de que ningún
dispositivo lleva un registro de las IP que se van asignando. Los
sistemas finales piden información de red al router usando un mensaje
específico denominado Router Solicitation y los routers responden
con un mensaje Router Advertisement. Existe un proceso
denominado DAD (Duplicate Address Detection), que se encarga de
verificar que las IPs no estén en uso, no sean duplicadas.
DHCPv6: se puede definir este método como autoconfiguración
stateful y el funcionamiento es similar a DHCP tradicional, asignando
direccionamiento a los hosts de un rango preconfigurado. Tiene una
ventaja añadida y es que rompe la relación entre MAC e IP (capa 2 y
3) creada si se utiliza la autoconfiguración stateless, aumentando la
seguridad.
TRANSICIÓN DE IPV4 A IPV6
Muchos de los actuales dispositivos de red requieren para su funcionalidad la
utilizacióne implementación de IPv6. Sin embargo y por diferentes razones
muchas empresas no pueden cambiar fácilmente de IPv4 a IPv6. Este proceso
de migración puede llevar un largo período de cambios y transformaciones
por lo que durante esta fase pueden coexistir ambas versiones de IP.
Dual Stack
Con este mecanismo es posible ejecutar IPv4 e IPv6 a la vez sin
comunicación entre ambas versiones. Los hosts y los routers llevan
configuraciones de las dos versiones de IP y utilizan independientemente
unas u otras según los recursos que quieran alcanzar. Si un recurso en
concreto proporciona ambas versiones sería conveniente utilizar IPv6 para
alcanzarlo.
Este mecanismo de dualidad permite a los servidores, clientes y aplicaciones
moverse gradualmente hacia el nuevo protocolo provocando un mínimo
impacto durante el proceso de transición a IPv6.
La mayor desventaja de esta tecnología, es que requiere que todo el
equipamiento soporte ambos protocolos, lo cual no es la situación real.
Túneles
El mecanismo que proporciona dual stack funciona correctamente siempre y
cuando la infraestructura pueda soportar los dos protocolos, pero hay casos
en los que los dispositivos sólo soportan IPv4, como por ejemplo en equipos
de core. Hasta que estos equipos sean actualizados se debe utilizar otro tipo
de técnica que pueda ejecutar IPv6 a través de IPv4.
Utilizando túneles los routers que están ejecutando a la vez IPv4 e IPv6
encapsularán el tráfico IPv6 dentro de paquetes IPv4. El origen de los
paquetes IPv4 es el propio router local y el destino será el router en el
extremo del túnel. Cuando el router destino recibe el paquete IPv4 lo
desencapsula y hace un reenvío del tráfico IPv6 que estaba encapsulado.
En la actualidad, Internet es básicamente una red IPv4 con algunas islas IPv6;
por lo tanto, lo más frecuente es que el tráfico IPv6 viaje encapsulado en
paquetes IPv4.
Los siguientes son algunos de los tipos de túneles más comunes:
Configuración manual: el túnel se crea manualmente, IPv6 es el
protocolo pasajero siendo IPv4 el encargado de encapsular y
transportar a IPv6.
6-to-4 Permite tráfico IPv6 sobre una red IPv4 sin la necesidad de
configurar túneles de forma explícita, aunque se mantiene la función
de encapsulamiento de IPv6 en IPv4. Los túneles 6-to-4 utilizan
direcciones IPv6 que enlazan las direcciones 2002::/16 con la
dirección IPv4 de 32 bits del router borde creando un prefijo de 48
bits.
Teredo: encapsulan paquetes IPv6 en segmentos IPv4 UDP y trabajan
de manera similar a los otros mecanismos anteriores con el agregado
de poder atravesar redes que están utilizando NAT y firewall. La RFC
4380 describe el funcionamiento de este mecanismo.
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol): trata la
red como una NBMA de IPv4 y permite a la red privada IPv4
implementar incrementalmente IPv6 sin actualizar la red. La RFC
4214 describe el funcionamiento de ISATAP.
Traducción
El problema del mecanismo de túneles, ya sea manual o automático, es que
termina siendo una solución del tipo dual stack. Los clientes IPv6 tienen que
seguir soportando IPv4 para conectar con otros dispositivos IPv4. La
traducción de direcciones es un tipo de solución diferente que permite a
dispositivos IPv6 comunicarse con dispositivos IPv4 sin necesidad de
dependencia dual stack.
Algunas de las técnicas de traducción más empleadas son:
SIIT (Stateless IP/ICMP Translation): realiza traducción de
encabezados IPv6 a IPv4 y viceversa.
NAT64: mecanismo que permite a los hosts IPv6 comunicar con hosts
IPv4. Puede implementarse en modo stateless según la RFC6145) o
stateful según la RFC6146.
Stateless NAT64: mecanismo de traslación de direcciones IPv6 a
IPv4, pero garantizando correspondencia 1 a 1, en lugar de usar
correspondencia 1 a muchos como en el NAT stateful.
Los dominios de enrutamiento IPv4 e IPv6 también pueden estar conectados
a través de un Proxy usando ALG (Application-Level Gateways). Un Proxy
intercepta tráfico y lo convierte al protocolo correspondiente. Un ALG
independiente será necesario para soportar cada protocolo, de esta manera
este método solo soluciona algunos problemas específicos de la traducción de
direcciones.
FUNDAMENTOS PARA EL EXAMEN
Practique la conversión de números decimales, binarios y
hexadecimales.
Memorice los rangos de cada una de las clases de redes, el
direccionamiento reservado para uso privado.
Ejercite el cálculo de subredes, VLMS y resúmenes de ruta.
Tenga claro la diferencia entre VLMS, CIDR y resumen de ruta.
Estudie el mecanismo de abreviatura de una dirección IPv6.
Analice las diferencias fundamentales entre el direccionamiento IPv4 e
IPv6 y los métodos de transición entre ellos.
Recuerde cuales son los tipos de direcciones IPv6 y como se
constituyen.
Diferencie los distintos métodos de configuración de una dirección
IPv6.
Deduzca las diferencias entre IPv4 e IPv6, y cómo funcionan los
mecanismos de transición.
Fundamente este capítulo realizando la mayor cantidad posible de
ejercidos de subredes hasta tener una idea clara de su funcionamiento.
3
CONMUTACIÓN
CONMUTACIÓN DE CAPA 2
Las redes ethernet pueden mejorar su desempeño a partir de la conmutación
de tramas. La conmutación permite segmentar una LAN creando dominios de
colisión con anchos de banda exclusivos para cada segmento pudiendo
transmitir y recibir al mismo tiempo sin el retardo que provocarían las
colisiones.
Al llegar una trama al puerto del switch, ésta se sitúa en una de las colas de
entrada que contienen las tramas a reenviar con diferentes prioridades.
El switch no solo tiene que saber dónde reenviar las tramas, sino cómo
hacerlo tomando información a partir de las políticas de reenvío; estas
decisiones las toma de forma simultánea utilizando diferentes partes del
hardware involucrado en la decisión de switching.
El ancho de banda dedicado por puerto es llamado microsegmentación.
Los puentes, switches y routers son dispositivos que dividen las redes en
segmentos.
Los puentes trabajan a nivel de software generando alta latencia.
Los routers utilizan gran cantidad de recursos.
Los switches lo hacen a nivel de hardware siendo tan rápidos como el
medio lo exija.
Los puentes, switches y routers dividen las redes en segmentos
La conmutación permite:
Comunicaciones dedicadas entre dispositivos. Los hosts poseen un
dominio de colisión puro libre de colisiones, incrementando la rapidez
de transmisión.
Múltiples conversaciones simultáneas. Los hosts pueden establecer
conversaciones simultáneas entre segmentos gracias a los circuitos
virtuales proporcionados por los switch.
Comunicaciones full-duplex. El ancho de banda dedicado por puerto
permite transmitir y recibir a la vez, duplicando el ancho de banda
teórico.
Adaptación a la velocidad del medio. La conmutación creada por un
switch funciona a nivel de hardware (ASIC), respondiendo tan
rápidamente como el medio lo permita.
CONMUTACIÓN CON SWITCH
Un switch segmenta una red en dominios de colisión, tantos como puertos
activos posea. Aprender direcciones, reenviar, filtrar paquetes y evitar bucles
también son funciones de un switch.
El switch segmenta el tráfico de manera que los paquetes destinados a un
dominio de colisión determinado no se propaguen a otro segmento
aprendiendo las direcciones MAC de los hosts. A diferencia de un hub, un
switch no inunda todos los puertos con las tramas. Por el contrario, el switch
es selectivo con cada trama.
Debido a que los switches controlan el tráfico para múltiples segmentos al
mismo tiempo, han de implementar memoria búfer para que puedan recibir y
transmitir tramas independientemente en cada puerto o segmento.
Un switch nunca aprende direcciones de difusión o multidifusión, dado que
las direcciones no aparecen en estos casos como dirección de origen de la
trama. Una trama de broadcast será transmitida a todos los puertos a la vez.
Tecnologías de conmutación
A partir del momento en que el switch toma la decisión de enviar la trama
puede utilizar diferentes tipos de procesamientos internos para hacerlo.Almacenamiento y envío: el switch debe recibir la trama completa
antes de enviarla por el puerto correspondiente. Lee la dirección MAC
destino, comprueba el CRC (contador de redundancia cíclica, utilizado
en las tramas para verificar errores de envío), aplica los filtrados
correspondientes y retransmite. Si el CRC es incorrecto, se descarta la
trama. El retraso de envío o latencia suele ser mayor debido a que el
switch debe almacenar la trama completa, verificarla y posteriormente
enviarla al segmento correspondiente.
Método de corte: el switch verifica la dirección MAC de destino en
cuanto recibe la cabecera de la trama, y comienza de inmediato a
enviar la trama. La desventaja de este modo es que el switch podría
retransmitir una trama de colisión o una trama con un valor de CRC
incorrecto, pero la latencia es muy baja.
Libre de fragmentos: modo de corte modificado, el switch lee los
primeros 64 bytes antes de retransmitir la trama. Normalmente las
colisiones tienen lugar en los primeros 64 bytes de una trama. El
switch solo envía las tramas que están libres de colisiones.
Normalmente los terminales de trabajo utilizan enlaces a 100 Mbps, mientras
que los enlaces ascendentes funcionan a 1 Gbps, sumado a la tecnología
ASIC (Application-Specific Integrated Circuits), los switches de hoy en día
utilizan típicamente el procesamiento de almacenamiento y envío, debido a
que la latencia comparada con los otros dos métodos de conmutación es
insignificante en estas velocidades.
Aprendizaje de direcciones
Un switch crea circuitos virtuales entre segmentos, para ello debe identificar
las direcciones MAC de destino, buscar en su tabla de direcciones MAC a
qué puerto debe enviarla y ejecutar el envío. Cuando un switch se inicia no
posee datos sobre los hosts conectados a sus puertos, por lo tanto, inunda
todos los puertos esperando capturar la MAC correspondiente.
A medida que las tramas atraviesan el switch, este las comienza a almacenar
en la memoria CAM (Content-Addressable Memory) asociándolas a un
puerto de salida e indicando en cada entrada una marca horaria a fin de que
pasado cierto tiempo sea eliminada preservando el espacio en memoria. Si un
switch detecta que la trama pertenece al mismo segmento de donde proviene
no la recibe evitando tráfico, si por el contrario el destino pertenece a otro
segmento, solo enviará la trama al puerto correspondiente de salida. Si la
trama fuera un broadcast, el switch inundará todos los puertos con dicha
trama.
Un switch crea circuitos virtuales mapeando la dirección MAC de destino con el puerto de
salida correspondiente
La tabla CAM tiene un tamaño determinado que varía en función de cada
equipo, pero en definitiva es de tamaño limitado y puede llenarse y provocar
un desbordamiento. Para prevenir este desbordamiento de la CAM es muy
útil reducir el tiempo de permanencia de las entradas en la tabla.
Existen casos particulares en los que la MAC no se aprenderá de forma
dinámica, por ejemplo, un interfaz que solo reciba tráfico y que nunca envíe,
en ese caso se podrá configurar la entrada en la CAM de forma manual.
La siguiente captura muestra la tabla MAC de un switch:
switch#sh mac-address-table
Dynamic Address Count: 172
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 76
Total MAC addresses: 248
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0000.0c07.ac01 Dynamic 12 GigabitEthernet0/1
0000.0c07.ac0b Dynamic 11 GigabitEthernet0/1
0000.c0e5.b8d4 Dynamic 12 GigabitEthernet0/2
0001.9757.d29c Dynamic 1 GigabitEthernet0/1
0001.9757.d29c Dynamic 2 GigabitEthernet0/1
0001.9757.d29c Dynamic 3 GigabitEthernet0/1
0001.9757.d29c Dynamic 4 GigabitEthernet0/1
0001.9757.d29c Dynamic 5 GigabitEthernet0/1
0001.9757.d29c Dynamic 6 GigabitEthernet0/1
0001.9757.d29c Dynamic 7 GigabitEthernet0/1
0001.9757.d29c Dynamic 8 GigabitEthernet0/1
0001.9757.d29c Dynamic 9 GigabitEthernet0/1
Medios del switch
En el diseño de una red LAN, se debe tener en cuenta la longitud de cada
tramo de cable y luego encontrar el mejor tipo de Ethernet y el tipo adecuado
de cableado que soporte la longitud necesaria. En el capítulo 1 ya se ha hecho
referencia a los medios y estándares de la capa física, las siguientes son
tecnologías Ethernet aplicables a los puertos de switches Cisco:
Ethernet: cuando comúnmente se habla de Ethernet se hace referencia
a Ethernet basada en la norma de la IEEE 802.3, la cual describe
Ethernet como un medio compartido que además es dominio de
colisión y de difusión. En Ethernet dos estaciones no pueden transmitir
simultáneamente y cuantas más estaciones existan en el segmento más
probabilidad existe de colisión, esto solo ocurre en modo half-duplex,
en el que una estación no es capaz de transmitir y recibir a la vez.
Ethernet está basada en la tecnología CSMA/CD (Carrier Sense
Multiple Access Collision Detect), que describe un modo de operación
en sistemas de contienda o máximo esfuerzo.
Fast Ethernet: definido en el estándar IEEE 802.3u, el cual declara un
estándar que compartiendo la subcapa de acceso al medio (MAC) con
IEEE 802.3 pueda transmitir a 100 Mbps. La diferencia con IEEE
802.3 consiste en la modificación del medio físico manteniendo la
operación CSMA/CD y la subcapa MAC. La especificación Fast
Ethernet dispone de compatibilidad con Ethernet tradicional, así que
los puertos en el caso de 100BASE-T pueden ser 10/100, además de la
velocidad es posible negociar el modo duplex de la transmisión. Los
puertos pueden configurarse de forma automática o de manera manual
para asegurar el modo de operación deseado. Los switches Cisco
además permite en Fast Ethernet la agregación de puertos para
conseguir mayor ancho de banda, esto se consigue mediante
EtherChannel, el cual se tratará más adelante.
Gigabit Ethernet: el estándar Gigabit Ethernet (IEEE 802.3z) es una
mejora sobre Fast Ethernet que permite proporcionar velocidades de 1
Gbps, pero para conseguir este resultado fue necesario utilizar el
estándar ANSI X3T11 - Fiberchannel junto con el estándar IEEE
802.3. De esta forma surgió un nuevo estándar con el mismo modo de
operación que Ethernet, pero a 1 Gbps. Gigabit Ethernet permite la
compatibilidad con sus predecesores, existen puertos de 10/100/1000 y
es posible la autonegociación. La capacidad de agregación también
existe en Gigabit Ethernet denominándose Gigabit EtherChannel.
10-Gigabit Ethernet: el estándar 10-Gigabit Ethernet (IEEE 802.3ae)
funciona sobre una nueva capa física totalmente diferente a las
anteriores, pero manteniendo la subcapa MAC exactamente igual que
las versiones antecesoras. 10-Gigabit Ethernet solo funcionará a 10
Gbps full duplex, en este caso no existe compatibilidad con versiones
anteriores de Ethernet ya que la capa física no es compatible.
EtherChannel: los dispositivos Cisco permiten realizar agregación de
enlaces con la finalidad de aumentar el ancho de banda disponible a
través de la tecnología EtherChannel. La agregación de puertos en
Cisco se puede realizar con interfaces Fast Ethernet, Gigabit Ethernet
o 10 Gigabit Ethernet. Con la tecnología EtherChannel es posible
añadir hasta 8 enlaces de forma que se comporten como si fueran uno,
eliminando la posibilidad de formar bucles de capa 2 debido a que el
comportamiento de estos enlaces es el de un único enlace. La
tecnología EtherChannel permite una distribución que no llega a ser un
balanceo de carga perfecto por los métodos que utiliza, pero permite la
correcta distribución del tráfico, además si uno de los enlaces que
componen la agregación fallara, el tráfico se distribuiría entre los
restantes sin perder la conectividad.
SPANNING TREE PROTOCOL
Las redes están diseñadas por lo general con enlaces y dispositivos
redundantes. Estos diseños eliminan la posibilidad de que un punto de fallo
individual origine al mismo tiempo varios problemas que deben ser tenidos
en cuenta. Sin algún servicio que evite bucles,cada switch inundaría las
difusiones en un bucle infinito.
Bucles de capa 2
La propagación continua de difusiones a través de un bucle produce una
tormenta de difusión, lo que da como resultado un desperdicio del ancho de
banda, así como impactos serios en el rendimiento de la red. Podrían ser
distribuidas múltiples copias de tramas sin difusión a los puestos de destino.
Esta situación se conoce como bucle de capa 2 o bucle de puente.
Muchos protocolos esperan recibir una sola copia de cada transmisión. La
presencia de múltiples copias de la misma trama podría ser causa de errores
irrecuperables. Una inestabilidad en el contenido de la tabla de direcciones
MAC da como resultado que se reciban varias copias de una misma trama en
diferentes puertos del switch.
Los bucles y las tramas duplicadas son algunos de los problemas que soluciona STP
Solución a los bucles de capa 2
STP (Spanning Tree Protocol) es un protocolo de capa dos publicado en la
especificación del estándar IEEE 802.1d.
El objetivo de STP es mantener una red libre de bucles. Un camino libre de
bucles se consigue cuando un dispositivo es capaz de reconocer un bucle en
la topología y bloquear uno o más puertos redundantes.
El protocolo Spanning Tree explora constantemente la red, de forma que
cualquier fallo o adición en un enlace, switch o bridge es detectado al
instante. Cuando cambia la topología de red, el algoritmo de STP reconfigura
los puertos del switch o el bridge para evitar una pérdida total de la
conectividad.
Los switches intercambian información multicast a través de las BPDU
(Bridge Protocol Data Unit) cada dos segundos, si se detecta alguna
anormalidad en algún puerto, STP cambiará de estado dicho puerto
automáticamente utilizando algún camino redundante sin que se pierda
conectividad en la red.
Cada switch envía las BPDU a través de un puerto usando la dirección MAC
de ese puerto como dirección de origen, el switch no sabe de la existencia de
otros switches por lo que las BPDU son enviadas con la dirección de destino
multicast 01-80-c2-00-00-00.
Existen dos tipos de BPDU:
Configuration BPDU: utilizadas para el cálculo de STP.
Topology Change Notification (TCN) BPDU: utilizada para anunciar
los cambios en la topología de la red.
Proceso STP
STP funciona automáticamente siguiendo los siguientes criterios:
Elección de un switch raíz. En un dominio de difusión solo debería
existir un switch raíz. Todos los puertos del bridge raíz se encuentran
en estado enviando y se denominan puertos designados. Cuando está
en este estado, un puerto puede enviar y recibir tráfico. La elección de
un switch raíz se lleva a cabo determinando el switch que posea la
menor prioridad. Este valor es la suma de la prioridad por defecto
dentro de un rango de 1 al 65536 (20 a 216) y el ID del switch
equivalente a la dirección MAC. Por defecto la prioridad es 215 =
32768 y es un valor configurable. Un administrador puede cambiar la
elección del switch raíz por diversos motivos configurando un valor de
prioridad menor a 32768. Los demás switches del dominio se llaman
switch no raíz.
Puerto raíz. El puerto raíz corresponde a la ruta de menor coste desde
el switch no raíz, hasta el switch raíz. Los puertos raíz se encuentran
en estado de envío o retransmisión y proporcionan conectividad hacia
atrás al switch raíz. La ruta de menor coste al switch raíz se basa en el
ancho de banda.
Puertos designados. El puerto designado es el que conecta los
segmentos al switch raíz y solo puede haber un puerto designado por
segmento. Los puertos designados se encuentran en estado de
retransmisión y son los responsables del reenvío de tráfico entre
segmentos. Los puertos no designados se encuentran normalmente en
estado de bloqueo con el fin de romper la topología de bucle.
Estado de los puertos STP
Los puertos del switch que participan de STP toman diferentes estados según
su funcionalidad en la red.
Bloqueando. Inicialmente todos los puertos se encuentran en este
estado. Si STP determina que el puerto debe continuar en ese estado,
solo escuchará las BPDU, pero no las enviará.
Escuchando. En este estado los puertos determinan la mejor topología
enviando y recibiendo las BPDU.
Aprendiendo. El puerto comienza a completar su tabla MAC, pero
aún no envía tramas. El puerto se prepara para evitar inundaciones
innecesarias.
Enviando. El puerto comienza a enviar y recibir tramas.
Existe un quinto estado que puede llamarse desactivado y ocurre cuando el
puerto se encuentra físicamente desconectado o anulado por el sistema
operativo, aunque no es un estado real de STP pues no participa de la
operativa STP.
Para evitar bucles, STP bloquea los puertos necesarios
RECUERDE:
El tiempo que le lleva a STS el cambio de estado de un puerto desde bloqueado a envío es
de 50 segundos.
RAPID SPANNING TREE PROTOCOL
RSTP (Rapid Spanning Tree Protocol) es la versión mejorada de STP
definido por el estándar IEEE 802.1w. El protocolo RSTP funciona con los
mismos parámetros básicos que su antecesor:
Designa el switch raíz con las mismas condiciones que STP.
Elige el puerto raíz del switch no-raíz con las mismas reglas.
Los puertos designados segmentan la LAN con los mismos criterios.
A pesar de estas similitudes con STP, el modo rápido mejora la convergencia
entre los dispositivos ya que STP tarda 50 segundos en pasar del estado
bloqueando al enviando mientras que RSTP lo hace prácticamente de
inmediato sin necesidad de que los puertos pasen por los otros estados. RSTP
es compatible con switches que solo utilicen STP.
En una topología RSTP el root bridge se elige de la misma manera que en el
estándar 802.1d. Una vez que todos los switch están de acuerdo en la
identificación del root, se determinan los roles de los puertos que pueden ser
los siguientes:
Puerto raíz: es el puerto con el menor coste hacia el switch raíz.
Puerto designado: es el puerto de un segmento de LAN que está más
cerca del switch raíz. Este puerto es el que envía las BPDU hacia abajo
en el árbol de STP.
Puerto alternativo, es un puerto que tiene un camino alternativo hacia
el switch raíz y diferente del camino que utiliza el puerto raíz. Este
camino es menos deseable que el del puerto raíz.
Puerto de backup, proporciona redundancia en un segmento donde
otro switch está conectado. Si este segmento común se pierde el switch
no podría tener otro camino hacia el raíz.
RSTP solo define estados de puertos acorde a lo que el switch hace con las
tramas que le llegan. Un puerto puede tener algunos de los siguientes estados:
Descartando, las tramas de entrada simplemente son eliminadas, no se
aprende ninguna dirección MAC; este estado combina los estados
desconectado, bloqueando y aprendiendo del 802.1d.
Aprendiendo, las tramas que le llegan son eliminadas pero las
direcciones MAC quedan almacenadas.
Enviando, las tramas de entrada son enviadas acorde a la dirección
MAC que han sido aprendidas.
PER-VLAN SPANNING TREE
PVST es una versión propietaria de Cisco de STP que ofrece mayor
flexibilidad que la versión estándar, el cual opera una instancia STP por cada
una de las VLAN. Esto permite que cada instancia de STP se configure
independientemente ofreciendo mayor rendimiento y optimizando las
condiciones. Al tener múltiples instancias de STP es posible el balanceo de
carga en los enlaces redundantes cuando son asignados a diferentes VLAN.
PVST+ (Per-VLAN Spanning Tree Plus) es una segunda versión propietaria
que Cisco tiene de STP que permite interoperar con PVST y STP. El PVST+
es soportado por los switches Catalyst que ejecuten PVST, PVST+ y STP
sobre enlaces 802.1q.
La eficiencia de cada instancia de STP puede mejorarse configurando el
switch para que utilice RPVST+ (Rapid Per VLAN STP plus), esto significa
que cada VLAN tendrá su propia instancia independiente de RSTP
ejecutándose en el switch. Solamente será necesario un paso en la
configuración para cambiar el modo se STP para comenzar a utilizar
RPVSTP+, esto se lleva a cabo con el siguiente comando:
Switch(config)# spanning-tree mode rapid-pvstPVST+ actúa como un traductor entre grupos de switches STP y grupos
PVST. PVST+ se comunica directamente con PVST con trunk ISL, mientras
que con STP intercambia BPDU como tramas no etiquetadas utilizando la
VLAN nativa.
REDES VIRTUALES
Las VLAN (Virtual Lan) proveen seguridad, segmentación, flexibilidad,
permiten agrupar usuarios de un mismo dominio de broadcast con
independencia de su ubicación física en la red. Usando la tecnología VLAN
se pueden agrupar lógicamente puertos del switch y los usuarios conectados a
ellos en grupos de trabajo con interés común.
Utilizando la electrónica y los medios existentes es posible asociar usuarios
lógicamente con total independencia de su ubicación física incluso a través de
una WAN. Las VLAN pueden existir en un solo switch o bien abarcar varios
de ellos. Las VLAN pueden extenderse a múltiples switch por medio de
enlaces troncales que se encargan de transportar tráfico de múltiples VLAN.
El rendimiento de una red se ve ampliamente mejorado al no propagarse las
difusiones de un segmento a otro aumentando también los márgenes de
seguridad. Para que las VLAN puedan comunicarse son necesarios los
servicios de routers que pueden implementar el uso de ACL para mantener el
margen de seguridad necesario.
Ejemplo de utilización de VLAN
PUERTOS DE ACCESO Y TRONCALES
Muchas veces es necesario agrupar usuarios de la misma VLAN que se
encuentran ubicados en diferentes zonas, para conseguir esta comunicación
los switches utilizan un enlace troncal. Para que los switches envíen
información sobre las VLAN que tienen configuradas a través de enlaces
troncales es necesario que las tramas sean identificadas con el propósito de
saber a qué VLAN pertenecen.
A medida que las tramas salen del switch son etiquetadas para indicar a qué
VLAN corresponden, esta etiqueta es retirada una vez que entra en el switch
de destino para ser enviada al puerto de VLAN correspondiente.
Un puerto de switch que pertenece a una VLAN determinada es llamado
puerto de acceso, mientras que un puerto que transmite información de
varias VLAN a través de un enlace punto a punto es llamado puerto troncal.
Un puerto de acceso puede pertenecer a una LAN determinada y al mismo
tiempo a una VLAN de voz o auxiliar para uso en telefonía IP.
La información de todas las VLAN creadas viajará por el enlace trocal
automáticamente, la VLAN 1, que es la VLAN por defecto o nativa, lleva la
información de estado de los puertos. También es la VLAN de gestión.
Para evitar que todas las VLAN viajen por el troncal es necesario quitarlas manualmente
Etiquetado de trama
La normativa IEEE 802.1q identifica el mecanismo de etiquetado de trama
de capa 2 multivendedor. El protocolo 802.1q interconecta switches, routers
y servidores. Solo los puertos FastEthernet y GigabitEthernet soportan el
enlace troncal con el etiquetado 802.1q, también conocido como Dot1q.
Los switches Cisco implementan una variante de etiquetado propietaria, la
ISL (Inter Switch Link). ISL funciona a nivel de capa 2 y añade una
verificación por redundancia cíclica (CRC). ISL posee muy baja latencia
debido a que el etiquetado utiliza tecnología ASIC.
El etiquetado de la trama es eliminado de la trama al salir de un puerto de
acceso antes de ser enviada al dispositivo final.
NOTA:
Los switches reconocen la existencia de VLAN a través del etiquetado de trama, identificando
el número de VLAN independientemente del nombre que estas posean en cada switch.
Ejemplo de un etiquetado ISL
Ejemplo de un etiquetado Dot1q
VLAN TRUNKING PROTOCOL
VTP (Vlan Trunking Protocol) proporciona un medio sencillo de mantener
una configuración de VLAN coherente a través de toda la red conmutada.
VTP permite soluciones de red conmutada fácilmente escalable a otras
dimensiones, reduciendo la necesidad de configuración manual de la red.
VTP es un protocolo de mensajería de capa 2 que mantiene la misma relación
de la configuración VLAN a través de un dominio de administración común,
gestionando las adiciones, supresiones y cambios de nombre de las VLAN a
través de las redes. Existen varias versiones de VTP; en el caso particular de
nuestro enfoque no es fundamental especificar las diferencias entre ellas.
Un dominio VTP son varios switches interconectados que comparten un
mismo entorno VTP. Cada switch se configura para residir en un único
dominio VTP. Para conseguir conectividad entre VLAN a través de un enlace
troncal entre switches, las VLAN deben estar configuradas en cada switch.
GVRP (GARP VLAN Registration Protocol). GARP y GVRP están definidos
en los estándares IEEE 802.1D y 802.1Q (cláusula 11) respectivamente y
tienen funcionalidades muy similares al VTP pero como protocolos abiertos.
Modos de operación VTP
Cuando se configura VTP es importante elegir el modo adecuado, ya que
VTP es una herramienta muy potente y puede crear problemas en la red.
VTP opera en tres modos, existe un cuarto modo off pero no participa en el
dominio ni en la operatividad VTP:
Modo servidor: es el modo VTP predeterminado. En modo servidor
pueden crearse, modificar y suprimir VLAN y otros parámetros de
configuración que afectan a todo el dominio VTP. En modo servidor,
las configuraciones de VLAN se guardan en la memoria de acceso
aleatoria no volátil (NVRAM). En este modo se envían y retransmiten
avisos VTP y se sincroniza la información de configuración de VLAN
con otros switches.
Modo cliente: un dispositivo que opera en modo VTP cliente no
puede crear, cambiar ni suprimir VLAN. Un cliente VTP no guarda la
configuración VLAN en memoria no volátil. Tanto en modo cliente
como en modo servidor, los switches sincronizan su configuración
VLAN con la del switch que tenga el número de revisión más alto en
el dominio VTP. En este modo se envían y retransmiten avisos VTP y
se sincroniza la información de configuración de VLAN con otros
switches.
Modo transparente: un switch que opera en VTP transparente no crea
avisos VTP ni sincroniza su configuración de VLAN con la
información recibida desde otros switches del dominio de
administración. Reenvía los avisos VTP recibidos desde otros switches
que forman parte del mismo dominio de administración. Un switch
configurado en el modo transparente puede crear, suprimir y modificar
VLAN, pero los cambios no se transmiten a otros switches del
dominio, afectan tan solo al switch local.
Modo off: este modo desactiva todas las actividades de VTP en un
switch. No se envían ni reciben publicaciones VTP ni son
retrasmitidas a otros switches.
En un mismo dominio VTP la información de VLAN configurada en el servidor se transmite a
todos los clientes
NOTA:
En una red grande pueden convivir en un mismo dominio VTP varios switches servidores
trabajando de manera redundante, sin embargo, esta alternativa puede dificultar la tarea del
administrador.
Copia de un show vtp status:
switch#show vtp status
VTP Version : 2
Configuration Revision : 63
Maximum VLANs supported locally : 254
Number of existing VLANs : 20
VTP Operating Mode : Client
VTP Domain Name : damian
VTP Pruning Mode : Enabled
VTP V2 Mode : Disabled
VTP Traps Generation : Enabled
MD5 digest : 0x38 0x3F 0x5F 0xF0 0x58 0xB6 0x74 0x30
Configuration last modified by 104.10.2.3 at 11-4-06 14:49:55
Recorte VTP
Por defecto todas las líneas troncales transportan el tráfico de todas las
VLAN configuradas. Algún tráfico innecesario podría inundar los enlaces
perdiendo efectividad. El recorte o pruning VTP permite determinar cuál es el
tráfico que inunda el enlace troncal evitando enviarlo a los switches que no
tengan configurados puertos de la VLAN destino.
RECUERDE:
El modo servidor debe elegirse para el switch que se usará para crear, modificar o suprimir
VLAN.
El modo cliente debe configurarse para cualquier switch que se añada al dominio VTP para
prevenir un posible reemplazo de configuraciones de VLAN.
El modo transparente debe usarse en un switch que se necesite para avisos VTP a otros
switches, pero que necesitan también capacidad para administrar sus VLAN
independientemente.
NOTA:La pertenencia de los puertos de switch a las VLAN se asigna manualmente puerto a puerto
(pertenencia VLAN estática o basada en puertos).
NOTA:
La VLAN1 es la VLAN de administración y se utiliza para tareas de gestión como las
publicaciones VTP, no será omitida por el pruning VTP.
FUNDAMENTOS PARA EL EXAMEN
Recuerde y analice los conceptos sobre la microsegmentación y los
beneficios de la conmutación de capa 2.
Recuerde cuáles son los dispositivos que pueden segmentar una LAN
y cómo sería el rendimiento de la red con cada uno de ellos.
Estudie las tecnologías de conmutación, el funcionamiento de cada
uno de los métodos.
Analice el funcionamiento del aprendizaje de direcciones de un switch.
Compare cada uno de los medios que se pueden utilizar en los puertos
de un switch.
Razone la problemática que generan los bucles de capa 2.
Estudie todos los conceptos sobre STP, procesos y estados de los
puertos.
Determine las similitudes y diferencias entre STP, RSTP y PVST.
Recuerde las razones fundamentales para el uso y aplicación de
VLAN.
Analice los beneficios asociados del uso de VLAN.
Tenga claras las diferencias entre un puerto de acceso y un puerto
troncal y para qué utilizaría cada uno.
Recuerde qué es un enlace troncal y para qué sirve.
Memorice los tipos de etiquetado de trama, para qué sirven y las
diferencias fundamentales entre ambos formatos.
Memorice y analice el funcionamiento detallado de VTP, sus modos
de operación y el recorte VTP.
4
CONFIGURACIÓN DEL SWITCH
OPERATIVIDAD DEL SWITCH
Cuando un switch Catalyst se pone en marcha, hay tres operaciones
fundamentales que el dispositivo de red debe realizar:
1. El dispositivo localiza el hardware y lleva a cabo una serie de rutinas
de detección del mismo. Un término que se suele utilizar para describir
este conjunto inicial de rutinas el POST (Power-on Self Test), o
pruebas de inicio.
2. Una vez que el hardware se muestra en una disposición correcta de
funcionamiento, el dispositivo lleva a cabo rutinas de inicio del
sistema. El switch o el router inicia localizando y cargando el software
del sistema operativo IOS secuencialmente desde la Flash, servidor
TFTP o la ROM, según corresponda (o incluso descomprimiéndola
desde la NVRAM).
3. Tras cargar el sistema operativo, el dispositivo trata de localizar y
aplicar las opciones de configuración que definen los detalles
necesarios para operar en la red. Generalmente, hay una secuencia de
rutinas de arranque que proporcionan alternativas al inicio del software
cuando es necesario.
Un switch Catalyst utiliza varios tipos de memoria, todas ellas son de estado
sólido, lo que permite mantener mayor tiempo de actividad y disponibilidad.
La siguiente lista detalla los cuatro tipos de memorias que utiliza un switch
Catalyst y para qué sirven.
RAM: memoria de acceso aleatorio también llamada memoria de
acceso aleatorio dinámica (DRAM) se utiliza para almacenar la
configuración actual y los procesos de ejecución. El contenido de la
RAM se pierde cuando se apaga la unidad.
Flash: la memoria flash se utiliza para almacenar una imagen
completa del software IOS de Cisco, que puede estar comprimido o
no. Estas imágenes pueden actualizarse cargando una nueva en la
memoria.
NVRAM: memoria de acceso aleatorio no volátil, se utiliza para
guardar la configuración de inicio, estas memorias retienen sus
contenidos cuando se apaga la unidad.
ROM: memoria de solo lectura se utiliza para almacenar de forma
permanente el código de diagnóstico de inicio (Monitor de ROM). Las
tareas principales de la ROM son el diagnóstico del hardware durante
el arranque del router y la carga del software IOS de Cisco desde la
memoria flash a la RAM. Las memorias ROM no se pueden borrar.
INSTALACIÓN INICIAL
En la instalación inicial, el administrador de la red configura generalmente
los dispositivos de la red desde un terminal de consola, conectado a través del
puerto de consola (RJ45). Los nuevos dispositivos Cisco incluyen un puerto
extra USB (Mini-B) como puerto de consola.
Posteriormente y una vez configurados ciertos parámetros mínimos el switch
puede ser configurado desde distintas ubicaciones:
Si el administrador debe dar soporte a dispositivos remotos, una
conexión local por módem con el puerto auxiliar del dispositivo
permite a aquél configurar los dispositivos de red (según modelo y
antigüedad).
En los equipos más modernos con una configuración básica y desde
cualquier sitio de la red el dispositivo puede cargar la configuración a
través de algún servidor de gestión centralizada.
Dispositivos con direcciones IP establecidas pueden permitir
conexiones Telnet para la tarea de configuración.
Descargar un archivo de configuración de un servidor TFTP (Trivial
File Transfer Protocol).
Configurar el dispositivo por medio de un navegador HTTP (Hypertext
Transfer Protocol).
Conectándose por primera vez
Para la configuración inicial del switch se utiliza el puerto de consola
conectado a un cable transpuesto o de consola y un adaptador RJ-45 a DB-9
para conectarse al puerto COM1 del ordenador o un adaptador USB. Este
debe tener instalado un software de emulación de terminal.
La imagen corresponde a una captura de pantalla de un emulador de terminal
Los parámetros de configuración son los siguientes:
El puerto COM adecuado.
9600 baudios.
8 bits de datos.
Sin paridad.
1 bit de parada.
Sin control de flujo.
Al iniciar por primera vez un switch Catalyst, no posee configuración inicial
alguna. Mostrará la siguiente sintaxis:
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE
SOFTWARE(fc1)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 22-May-11 22:31 by Miguelito
Press RETURN to get started!
Switch>
Desde la línea de comandos el switch se inicia en el modo EXEC usuario, las
tareas que se pueden ejecutar en este modo son solo de verificación ya que no
se permiten cambios de configuración. En el modo EXEC privilegiado se
realizan las tareas típicas de configuración.
Modo EXEC usuário y modo EXEC privilegiado respectivamente:
Switch>
Switch#
Para pasar del modo usuario al privilegiado ejecute el comando enable, para
regresar disable. Esto es posible porque no se ha configurado contraseña, de
lo contrario sería requerida cada vez que se pasara al modo privilegiado.
Switch>
Switch>enable
Switch#disable
Switch>
Modo global y de interfaz:
Switch>enable
Switch#configure terminal
Switch(config)#interface [tipo de interfaz][número]
Switch(config)#interface FastEthernet 0/0
Switch(config-if)#exit
Switch(config)#exit
Switch#
Para pasar del modo privilegiado al global debe introducir el comando
configure terminal, para pasar del modo global al de interfaz ejecute el
comando interface. Para regresar un modo más atrás utilice el exit o
Control+Z que lo llevará directamente al modo privilegiado.
Para utilizar la opción del puerto USB, tome en cuenta que posiblemente
necesitará un driver controlador en su PC según el sistema operativo que
utilice. Para las conexiones desde su PC al puerto USB, posiblemente
también necesite un cable adaptador.
Leds indicadores de estado
Los switch Catalyst incluyen varios leds (diodos emisores de luz) que
proporcionan información del estado del dispositivo y ayudan a solucionar
problemas, tanto en el arranque como durante las operaciones en curso. Esta
forma visual permite al administrador verificar el estado de funcionamiento
del switch sin necesidad de conexión ni de comandos.
La imagen ilustra la ubicación de los leds de estado y de interfacesen un switch Cisco 2960
LED Descripción
SYST
Sistema: proporciona una visión general del switch, con tres estados:
apagado: el switch no está encendido.
verde: encendido y operativo.
ámbar: fallo en el arranque (POST) y el IOS no se cargó.
RPS Muestra el estado de la fuente de alimentación adicional (redundante).
STAT
En verde implica que los leds de los puertos muestren su estado:
apagado: el enlace no funciona.
verde: el enlace funciona, pero no hay tráfico.
verdeintermitente: el enlace está funcionando y está pasando tráfico a través de la interfaz.
ámbar intermitente: la interfaz está desactivada administrativamente o se ha desactivado de
forma dinámica por diferentes razones.
DUPLX
En verde implica que los leds de los puertos muestren su modo duplex:
verde: full.
apagado: half.
SPEED
En verde implica que los leds de los puertos muestren su velocidad:
apagado: 10 Mbps.
verde: 100 Mbps.
verde intermitente: 1 Gbps.
Puertos Tiene diferentes significados, dependiendo de la selección hecha desde el botón de modo.
Comandos ayuda
Memorizar todos los comandos disponibles resulta difícil, el switch ofrece la
posibilidad de ayudas, el signo de interrogación (?) y el tabulador del teclado
brindan la ayuda necesaria a ese efecto. El tabulador completa los comandos
que no recordamos completos o que no queremos escribir en su totalidad.
El ? colocado inmediatamente después de un comando muestra todos los que
comienzan con esas letras, colocado después de un espacio lista todos los
comandos que se pueden ejecutar en esa posición.
Switch#sh?
show
Switch#show ?
access-lists List access lists
arp Arp table
boot show boot attributes
cdp CDP information
clock Display the system clock
crypto Encryption module
Display the session command history
--More—
Switch#show interfaces ?
Ethernet IEEE 802.3
FastEthernet FastEthernet IEEE 802.3
GigabitEthernet GigabitEthernet IEEE 802.3z
Vlan Catalyst Vlans
etherchannel Show interface etherchannel information
switchport Show interface switchport information
trunk Show interface trunk information
<cr>
La ayuda se puede ejecutar desde cualquier modo:
Switch#?
Exec commands:
<1-99> Session number to resume
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
dir List files on a filesystem
--More--
Switch(config)#?
Configure commands:
access-list Add an access list entry
banner Define a login banner
boot Boot Commands
cdp Global CDP configuration subcommands
enable Modify enable password parameters
end Exit from configure mode
interface Select an interface to configure
--More—
La indicación —More— significa que existe más información disponible. La
barra espaciadora pasará de página en página, mientras que el Intro lo hará
línea por línea.
El acento circunflejo (^) indicará un fallo de escritura en un comando:
Switch#show ip interface bief
^
% Invalid input detected at ‘^’ marker.
Switch#sh ip interface brief
Los ejecutados comandos quedan registrados en un búfer llamado historial y
pueden verse con el comando show history:
Switch#show history
en
conf t
show ip interface bief
sh history
ping 10.0.0.1
conf t
show history
Comandos de edición
Las diferentes versiones de IOS ofrecen combinaciones de teclas que
permiten una configuración del dispositivo más rápida y simple. La siguiente
tabla muestra algunos de los comandos de edición más utilizados.
Tecla Efecto
Delete Elimina un carácter a la derecha del cursor.
Retroceso Elimina un carácter a la izquierda del cursor.
TAB Completa un comando parcial.
Ctrl+A Mueve el cursor al comienzo de la línea.
Ctrl+R Vuelve a mostrar una línea escrita anteriormente.
Ctrl+U Borra una línea.
Ctrl+W Borra una palabra.
Ctrl+Z Finaliza el modo de configuración y vuelve al modo EXEC.
Esc-B Desplaza el cursor hacia atrás una palabra.
Flecha arriba
Ctrl+P Repite hacia adelante los comandos anteriores.
Flecha abajo
Ctrl+N Repite hacia atrás los comandos anteriores.
Flecha dedecha
Ctrl+F Desplaza el cursor hacia la derecha sin borrar caracteres.
Flecha Izquierda
Ctrl+B Desplaza el cursor hacia la izquierda sin borrar caracteres.
CONFIGURACIÓN INICIAL
Asignación de nombre y contraseñas
Para asignar un nombre al switch, como la primera tarea recomendable (pero
no excluyente) de configuración se ingresa desde el modo de configuración
global, con el comando hostname. Es aconsejable que el nombre del
dispositivo sea exclusivo en la red.
Switch>enable
Switch#configure terminal
Switch(config)#hostname nombre
Los comandos enable password y enable secret se utilizan para restringir el
acceso al modo EXEC privilegiado. El comando enable password se utiliza
solo si no se ha configurado previamente enable secret.
Se recomienda habilitar siempre enable secret, ya que a diferencia de enable
password, la contraseña estará siempre cifrada utilizando el algoritmo MD5
(Message Digest 5).
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW_MADRID
SW_MADRID(config)#enable password contraseña
SW_MADRID(config)#enable secret contraseña
En la siguiente sintaxis se copia parte de un show runnig-config donde se ha
configurado como hostname SW_MADRID y como contraseña cisco en la enable
secret y la enable password, abajo se ve cómo la contraseña secret aparece
encriptada por defecto mientras que la otra se lee perfectamente.
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW_MADRID
SW_MADRID(config)#enable password cisco
SW_MADRID(config)#enable secret cisco
SW_MADRID# show runnig-config
hostname SW_MADRID
!
enable secret 5 $1$EBMD$0rTOiN4QQab7s8AFzsSof/
enable password cisco
Contraseñas de consola y telnet
Para configurar la contraseña para consola se debe acceder a la interfaz de
consola con el comando line console 0:
Switch#configure terminal
Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password contraseña
El comando exec-timeout permite configurar un tiempo de desconexión
determinado en la interfaz de consola.
El comando logging synchronous impedirá mensajes dirigidos a la consola
de configuración que pueden resultar molestos.
Para configurar la contraseña para telnet se debe acceder a la interfaz de
telnet con el comando line vty 0 4, donde line vty indica dicha interfaz, 0 el
número de la interfaz y 4 la cantidad máxima de conexiones en un rango de
0-15 múltiples, en este caso se permiten 5 conexiones múltiples:
Switch(config)#line vty 0 4
Switch(config-line)#login
Switch(config-line)#password contraseña
El comando show sessions muestra las conexiones de telnet efectuadas desde
el switch, el comando show users muestra las conexiones de usuarios
remotos hacia el switch.
Switch#show users
Line User Host(s) Idle Location
* 1 vty 0 idle 00:00:00 192.168.59.132
2 vty 1 idle 00:00:02 192.168.59.156
Interface User Mode Idle Peer Address
Switch#show sessions
Conn Host Address Byte Idle Conn Name
1 10.99.59.49 10.99.59.49 0 1 10.99.59.49
* 2 10.99.55.1 10.99.55.1 0 0 10.99.55.1
En todos los casos el comando login suele estar configurado por defecto,
permite al dispositivo preguntar la contraseña al intentar conectarse.
Asignación de dirección IP
Para configurar la dirección IP a un switch se debe hacer sobre una interfaz
vlan. Por defecto la VLAN 1 es VLAN nativa del switch, al asignar un
direccionamiento a la interfaz vlan 1 se podrá administrar el dispositivo vía
telnet. Es posible la configuración de manera estática o dinámica a través de
un servidor DHCP (Dynamic Host Configuration Protocol).
SW_2950(config)#interface vlan 1
SW_2950(config-vlan)#ip address [dirección ip + máscara]
SW_2950(config-vlan)#no shutdown
SW_2950(config)#interface vlan 1
SW_2950(config-vlan)#ip address dhcp
SW_2950(config-vlan)#no shutdown
Si el switch necesita enviar información a una red diferente a la de
administración se debe configurar un gateway.
SW_2950(config)#ip default-gateway[IP de gateway]
Para verificar la configuración IP establecida en la VLAN de gestión:
SW_2950#show interface vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 001e.79e9.d8c1 (bia
001e.79e9.d8c1)
Internet address is 10.99.59.49/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
--More—
SW_2950#show ip interface vlan 1
Vlan3 is up, line protocol is upInternet address is 10.99.59.49/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
--More—
Configuración de puertos
La configuración básica de puertos se lleva a cabo mediante la determinación
de la velocidad y el modo de transmisión. Por defecto, la velocidad asignada
es la establecida según el tipo de puerto.
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#speed [10 | 100 | auto]
Switch(config-if)#duplex [full | half | auto]
Switch(config-if)#no shutdown
También puede hacerse por rangos de interfaces separando el comienzo del
rango y el fin por un guion o por interfaces sueltas separadas por una coma.
SW_2960(config)#interface range fastEthernet 0/1 - 10
SW_2960(config-if-range)# speed 100
SW_2960(config)#interface range fastEthernet 0/11 , gigab 0/1
SW_2960(config-if-range)# no shutdown
Puede verse la tabla MAC con las asociaciones de cada puerto con los
siguientes comandos:
SW_2960#sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
3 000f.fee3.bdb3 DYNAMIC Gi0/1
3 000f.fee4.8ba9 DYNAMIC Fa0/38
5 0024.8116.08dc DYNAMIC Fa0/45
3 24be.0508.1df8 DYNAMIC Fa0/44
2 24be.0510.a2d6 DYNAMIC Fa0/42
3 24be.0510.a2e0 DYNAMIC Gi0/2
3 24be.0510.a2f1 DYNAMIC Fa0/26
3 24be.0510.a334 DYNAMIC Gi0/3
SW_2960#show mac-address-table interface fastEthernet 0/24
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
2 24be.0510.a1c0 DYNAMIC Fa0/24
Total Mac Addresses for this criterion: 1
PoE
Un switch Catalyst puede ofrecer PoE (Power over Ethernet) en sus puertos
solo si está diseñado para hacerlo. Tiene que tener una o más fuentes de
alimentación preparadas para brindar la carga adicional que ofrecerá a los
dispositivos conectados. PoE está disponible en muchas plataformas
incluyendo los Catalyst 3750 PWR, los 4500 y los 6500.
PoE tiene el beneficio adicional de que puede ser gestionado y monitorizado,
funciona con teléfonos IP Cisco o con cualquier otro dispositivo compatible.
Con un nodo que no necesite funcionar con PoE, como un PC normal, el
switch simplemente no ofrece la energía en el cable.
El switch Catalyst podría estar conectado a una UPS (Uninterruptible Power
Supply) o utilizar fuentes alternativas, para que en el caso de que la principal
falle siga siendo capaz de alimentar al teléfono IP.
Existen dos métodos de proporcionar PoE a los dispositivos conectados:
ILP (Cisco Inline Power), es un método propietario de Cisco
desarrollado antes del estándar IEEE 802.3 AF.
IEEE 802.3 AF, es un método estándar que ofrece compatibilidad
entre diferentes fabricantes y cumple la misma función que su
antecesor.
El switch siempre mantiene la energía deshabilitada cuando el puerto está
caído, pero tiene que detectar cuándo un dispositivo que necesita
alimentación se conecta al puerto. En caso de conexión el switch tiene que
comenzar a generar la energía para que el dispositivo pueda inicializarse y
hacerse operacional. Solo a partir de ese momento el enlace Ethernet será
establecido.
Para IEEE 802.3AF los dispositivos comienzan dando un pequeño voltaje a
través de los pares transmisores de par trenzado variando de esta forma la
resistencia del par.
El método Cisco ILP toma un camino distinto al del 802.3AF, en lugar de
ofrecer voltajes y chequear el nivel de la resistencia el switch envía un tono a
una frecuencia de 340 KHz (340000 ciclos por segundo) en el par transmisor
del cable de par trenzado.
Cisco ILP proporciona la energía sobre los cables de par trenzado 2 y 3, que
son los pares de datos, con 48 VDC. IEEE 802.3AF, la energía puede ser
proporcionada de la misma manera, es decir, sobre los pares 2 y 3 o además
sobre los pares 1 y 4.
Ahora el dispositivo tiene la posibilidad de encenderse y establecer los
enlaces Ethernet. La oferta de energía entregada al dispositivo por defecto
puede ser cambiada a un valor más ajustado, esto puede ayudar a suplir
menor energía ajustándose a la realidad que los dispositivos necesitan. Con
802.3AF la oferta de energía puede cambiarse detectando la clase de energía
del dispositivo. Para Cisco ILP el switch puede intentar efectuar un
intercambio de mensajes CDP con el dispositivo. Si la información de CDP
es devuelta, el switch podrá descubrir los requerimientos reales del
dispositivo, reduciendo la energía a la que realmente necesita.
Con los comandos debug ilpower controller y debug cdp packets, pueden
verse los cambios de energía, en el ejemplo siguiente se muestra como la
energía ha sido reducida de 15000 mW a 6300 mW:
00:58:46: ILP uses AC Disconnect(Fa1/0/47): state= ILP_DETECTING_S, event=
PHY_CSCO_DETECTED_EV
00:58:46: %ILPOWER-7-DETECT: Interface Fa1/0/47: Power Device detected: Cisco PD
00:58:46: Ilpower PD device 1 class 2 from interface (Fa1/0/47)
00:58:46: ilpower new power from pd discovery Fa1/0/47, power_status ok
00:58:46: Ilpower interface (Fa1/0/47) power status change, allocated power 15400
00:58:46: ILP Power apply to ( Fa1/0/47 ) Okay
00:58:46: ILP Start PHY Cisco IP phone detection ( Fa1/0/47 ) Okay
00:58:46: %ILPOWER-5-POWER_GRANTED: Interface Fa1/0/47: Power granted
00:58:46: ILP uses AC Disconnect(Fa1/0/47): state= ILP_CSCO_PD_DETECTED_S,
event=IEEE_PWR_GOOD_EV
00:58:48: ILP State_Machine ( Fa1/0/47 ): State= ILP_PWR_GOOD_USE_IEEE_DISC_S,
Event=PHY_LINK_UP_EV
00:58:48: ILP uses AC Disconnect(Fa1/0/47): state= ILP_PWR_GOOD_USE_IEEE_DISC_S,
event=PHY_LINK_UP_EV
00:58:50: %LINK-3-UPDOWN: Interface FastEthernet1/0/47, changed state to up
00:58:50: CDP-AD: Interface FastEthernet1/0/47 coming up
00:58:50: ilpower_powerman_power_available_tlv: about sending patlv on Fa1/0/47
00:58:50: req id 0, man id 1, pwr avail 15400, pwr man –1
00:58:50: CDP-PA: version 2 packet sent out on FastEthernet1/0/47
00:58:51: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/47, changed state
to up
00:58:54: CDP-PA: Packet received from SIP0012435D594D on interface FastEthernet1/0/47
00:58:54: **Entry NOT found in cache**
00:58:54: Interface(Fa1/0/47) - processing old tlv from cdp, request 6300, current allocated 15400
00:58:54: Interface (Fa1/0/47) efficiency is 100
00:58:54: ilpower_powerman_power_available_tlv: about sending patlv on Fa1/0/47
00:58:54: req id 0, man id 1, pwr avail 6300, pwr man –1
00:58:54: CDP-PA: version 2 packet sent out on FastEthernet1/0/47
CONFIGURACIÓN AVANZADA
Seguridad de acceso
La autenticación por usuario añade una función de seguridad. Hay dos
métodos para configurar nombres de usuario de cuentas locales: username
password y username secret.
Switch(config)#username usuario1 password contraseña1
Switch(config)#username usuario2 password contraseña2
Switch(config)#username usuario secret contraseña
El comando username secret es más seguro porque utiliza el algoritmo
MD5, (Message Digest 5) para crear las claves.
Switch#show running-config
!
username ernesto secret 5 $1$aI44$fJoWcpIOAzTbkCd.bKxPS1
username matias password 0 contraseña
El comando login local en las configuraciones de línea habilita la base de
datos local para autenticación.
Switch(config)#line vty 0 15
Switch(config-line)#login local
Switch(config-line)#password contraseña
Un añadido de seguridad es el comando service password-encryption que
encripta con un cifrado leve las contraseñas que no están cifradas por defecto
como las de telnet, consola, auxiliar, etc. Una vez cifradas las contraseñas no
se podrán volver a leer en texto plano.
NOTA:
Las contraseñas sin encriptación aparecen en texto plano en el show running debiendo tener
especial cuidado ante la presencia de intrusos.
Los switches pueden ser configurados por HTTP si el comando ip http
server está habilitado en el dispositivo. Por defecto la configuración por webviene deshabilitada, por razones de seguridad se recomienda dejarlo
desactivado.
Mensajes o banners
Los banners son muy importantes para la red desde una perspectiva legal.
Además de advertir a intrusos potenciales, los banners también pueden ser
utilizados para informar a administradores remotos de las restricciones de
uso.
Los banners están deshabilitados por defecto y deben ser habilitados
explícitamente. Use el comando banner desde el modo de configuración
global para especificar mensajes apropiados.
Switch(config)#banner ?
LINE c banner-text c, where ‘c’ is a delimiting character
exec Set EXEC process creation banner
incoming Set incoming terminal line banner
login Set login banner
motd Set Message of the Day banner
El banner motd de es de poco uso en entornos de producción y se utiliza
raramente. El banner exec, por el contrario, es útil para mostrar mensajes de
administrador, ya que se presenta solo para los usuarios autenticados.
SW_2960#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW_2960(config)# banner exec#
Enter TEXT message. End with the character '#'.
+--------------------------------------------------------------+
| ADVERTENCIA |
| ------- |
| Este sistema es para el uso exclusivo de los usuarios |
| autorizados para fines oficiales. Usted no tiene ninguna |
| autorización de su uso y para asegurarse de que el sistema |
| funciona correctamente, las personas que administran esta |
| red monitorizan toda la actividad. La utilización de este |
| dispositivo sin consentimiento expreso revela evidencias de |
| un posible abuso o actividad criminal denunciable a las |
| autoridades competentes según las leyes vigentes. |
+--------------------------------------------------------------+
#
Configuración de PoE
PoE se configura de manera sencilla, cada Puerto del switch puede detectar
automáticamente la presencia de un dispositivo capacitado para ILP antes de
aplicar energía al puerto. También puede configurarse de tal manera que el
puerto no acepte ILP. Por defecto todos los puertos del switch intentan
descubrir dispositivos que sean ILP para cambiar este comportamiento se
utiliza la siguiente serie de comandos:
Switch(config)# interface type mod/num
Switch(config-if)# power inline {auto [max milli-watts] | static
[max milli-watts] | never}
Por defecto todas las interfaces del switch están configuradas en auto, donde
el dispositivo y la oferta de energía se descubren automáticamente. La oferta
de energía por defecto es 15,4 W (Watts); este valor de máxima energía
puede configurarse a través del parámetro max de 4000 a 15400 mW.
Es posible configurar una oferta de energía estática con el parámetro static si
el dispositivo no es capaz de interactuar con cualquiera de los métodos de
descubrimiento de energía. Para deshabilitar PoE en el puerto de tal manera
que nunca se detecten dispositivos y no se ofrezca energía se utiliza el
parámetro never.
El estado de la energía se puede verificar en los puertos del switch con el
siguiente comando:
Switch# show power inline [type mod/num]
El siguiente ejemplo proporciona una salida del comando; si la interfaz se
muestra como n/a, se ha utilizado ILP; de lo contrario es 802.3AF:
Switch# show power inline
Module Available Used Remaining
(Watts) (Watts) (Watts)
------ --------- -------- ---------
1 370.0 39.0 331.0
Interface Admin Oper Power Device Class Max
(Watts)
--------- ------ ---------- -------
Fa1/0/1 auto on 6.5 AIR-AP1231G-A-K9 n/a 15.4
Fa1/0/2 auto on 6.3 IP Phone 7940 n/a 15.4
Fa1/0/3 auto on 6.3 IP Phone 7960 n/a 15.4
Fa1/0/4 auto on 15.4 Ieee PD 0 15.4
Fa1/0/5 auto on 4.5 Ieee PD 1 15.4
Fa1/0/6 static on 15 n/a n/a 15.4
Fa1/0/7 auto off 0.0 n/a n/a 15.4
Etherchannel
Los dispositivos Cisco permiten realizar agregación de enlaces con la
finalidad de aumentar el ancho de banda disponible a través de la tecnología
EtherChannel. La agregación de puertos en Cisco se puede realizar con
interfaces Fast Ethernet, Gigabit Ethernet o 10 Gigabit Ethernet.
Con la tecnología EtherChannel es posible añadir hasta 8 enlaces de forma
que se comporten como si solo fueran uno, eliminando la posibilidad de
formar bucles de capa 2 debido a que el comportamiento de STP sobre estos
enlaces es el de un único enlace.
Actualmente existen dos opciones para utilizar como protocolos de
negociación en EtherChannel:
PAgP (Port Aggregation Protocol), es un protocolo propietario de
Cisco. Los paquetes PAgP son intercambiados entre switch a través de
los enlaces configurados para ello. Los vecinos son identificados y sus
capacidades comparadas con las capacidades locales.
LACP (Link Aggregation Control Protocol), es la opción abierta y
viene definida en el estándar 802.3ad, también conocida como IEEE
802.3 Cláusula 43 “Link Aggregation”. El funcionamiento es bastante
parecido al de PAgP, pero en este caso se asignan roles a cada uno de
los extremos basándose en la prioridad del sistema.
EtherChannel puede configurarse de forma manual o dinámicamente
utilizando los protocolos de negociación LACP o PAgP, por lo tanto, la
configuración dependerá de la opción más adecuada que se haya elegido en
cada caso.
Switch(config)#interface tipo número
Switch(config-if)#channel-group número mode on
El modo on es un modo de configuración en el cual se establece toda la
configuración del puerto de forma manual, no existe ningún tipo de
negociación entre los puertos para establecer un grupo. En este tipo de
configuración es necesario que ambos extremos estén en modo on.
Para la configuración de EtherChannel la creación del PortChannel se
realizará automáticamente a partir de la configuración del ChannelGroup,
llevando asociada la misma numeración. La interfaz EtherChannel es una
interfaz lógica que agrupará a todos los enlaces miembros del EtherChannel.
Cada interfaz que quiera ser miembro debe de ser asignada a él.
El siguiente comando se utiliza para configurar la manera en que las tramas
serán distribuidas en el EtherChannel:
Switch(config)#port-channel load-balance metodo
Los comandos necesarios para la configuración con el protocolo de
negociación PAgP son los siguientes:
Switch(config)#interface tipo número
Switch(config-if)#channel-protocol pagp
Switch(config-if)#channel-group número mode {on | {auto |
desirable} [non-silent]}
La configuración básica de LACP es muy similar a PAgP, se utilizan los
siguientes comandos:
Switch(config)#interface tipo número
Switch(config-if)#channel-protocol lacp
Switch(config-if)#channel-group número mode {on | passive | active}
Cada interfaz ha de estar asignada al mismo número de EtherChannel y
configurada como active o pasive.
Para la correcta configuración de Etherchannel hay varios puntos clave a
tener en cuenta:
Si se utiliza el modo on no se enviarán paquetes LACP o PAgP por lo
tanto ambos extremos han de estar en modo on.
Los modos active (LACP) o desirable (PAgP) preguntarán
activamente al otro extremo.
Los modos passive (LACP) o auto (PAgP) participarán en el
EtherChannel pero solo si reciben primero paquetes desde el otro
extremo.
PAgP modo desirable y auto por defecto contienen el parámetro
silent por lo que podrán negociar incluso si no escuchan paquetes
desde el otro extremo.
NOTA:
En muchos casos los términos Etherchannel, PortChannel y ChannelGroup pueden utilizarse
como sinónimos.
En el siguiente ejemplo se han configurado de manera manual las interfaces
FastEthernet 0/1 a la 0/4 en el ChannelGroup 1 y las interfaces Fastethernet
0/5 a 0/8 en el ChannelGroup 1 a través del protocolo denegociación LACP.
SW_2960(config)#interface range fastEthernet 0/1-4
SW_2960(config-if-range)#channel-group 1 mode on
SW_2960(config-if-range)#exit
SW_2960(config)#interface range fastEthernet 0/5-8
SW_2960(config-if-range)#channel-protocol lacp
SW_2960(config-if-range)#channel-group 2 mode active
SW_2960(config-if-range)#exit
SW_2960(config)#exit
SW-2960#
%SYS-5-CONFIG_I: Configured from console by console
SW_2960#show running-config
Building configuration...
Current configuration : 1396 bytes!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW-2960
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
channel-group 1 mode on
!
................................
!
interface FastEthernet0/5
channel-protocol lacp
channel-group 2 mode active
!
................................
!
interface Port-channel 1
!
interface Port-channel 2
!
................................
Sobre el mismo ejemplo el show Spanning-Tree muestra el rol que cumplen
las interfaces PortChannel en la topología STP.
SW_2960#show spanning-tree vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0001.641A.D44B
Cost 7
Port 27(Port-channel 1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0090.2B11.0D7C
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- ----------------
Po2 Altn BLK 7 128.28 Shr
Po1 Root FWD 7 128.27 Shr
Para la verificación del EtherChannel se pueden utilizar los siguientes
comandos:
show etherchannel summary
show etherchannel port-channel
show etherchannel load-balance
SW_2960#show etherchannel ?
load-balance Load-balance/frame-distribution scheme among ports in
port-channel
port-channel Port-channel information
summary One-line summary per channel-group
Stackwise
Tradicionalmente, los switches de capa de acceso han sido dispositivos
físicos independientes. Si era necesario múltiples switches en un solo lugar,
había que configurar los enlaces entre ellos.
Cisco introdujo el StackWise y tecnologías StackWise Plus para permitir
que switches físicos independientes puedan actuar como un único switch
lógico. StackWise está disponible en modelos de switch como el Cisco
Catalyst 3750-E, 3750-X, y 3.850. Para crear un switch lógico en stack, los
switches físicos individuales deben estar conectados entre sí utilizando cables
especiales para este fin. Cada switch admite dos puertos en stack; los
switches están conectados en una cadena tipo margarita, conectándose uno
detrás del otro y una conexión final se conecta al primero formando bucle
cerrado. Esta conexión a través de los cables stack crea una extensión del
entramado de conmutación. Cuando las tramas deben ser enviadas de un
switch a otro, se envían a través del bucle de cables de stack.
Ejemplo de 5 switches conectados en Stack
Una de las ventajas de StackWise es que se pueden realizar cambios en el
stack sin interrumpir su funcionamiento. Los switches individuales pueden
ser insertados o eliminados sin interrumpir completamente la conectividad
entre los switches. El anillo se puede abrir para agregar o remover un switch,
pero los switches restantes permanecerán conectados al anillo. En otras
palabras, usted puede realizar cambios en la pila sin interrumpir su
funcionamiento.
Cuando los switches físicos no forman parte de un stack, cada uno opera de
forma independiente y gestiona sus propias funciones. Cuando los switches
están conectados como una pila (en stack) mantienen su funcionalidad de
conmutación, pero únicamente un switch se convierte en el master de la pila
y realiza todas las funciones de gestión. De hecho, toda la pila se gestiona a
través de una única dirección IP. Si el switch master falla, otros switches
miembros pueden asumir su papel.
En una pila, todos los switches utilizan el mismo ID para una instancia de
spanning-tree. Aun añadiendo más switches al stack se sigue manteniendo la
misma instancia STP para todos.
La elección del rol de cada switch se crea automáticamente o manualmente
modificando el valor de la prioridad con el comando switch número priority
1-15.
Switch #show switch
Current
Switch# Role Mac Address Priority State
--------------------------------------------------------
*1 Master 001b.90b1.8280 3 Ready
2 Member 001b.2bea.c380 1 Ready
3 Member 0007.0e27.7f80 1 Ready
NOTA:
Una conexión en StackWise se puede utilizar para conectar hasta nueve switches físicos en
forma de anillo cerrado.
RECUERDE:
El master contiene almacenados los archivos de configuración que se ejecutan en el stack y
cada miembro tiene una copia actualizada de estos archivos con fines de copia de seguridad.
Configuración de SSH
SSH (Secure Shell) ha reemplazado a telnet como práctica recomendada para
proveer administración remota con conexiones que soportan confidencialidad
e integridad de la sesión. Provee una funcionalidad similar a una conexión
telnet de salida, con la excepción de que la conexión está cifrada y opera en el
puerto 22.
1. Configure la línea vty para que utilice nombres de usuarios locales con
el comando login local.
2. Asegúrese de que haya una entrada de nombre de usuario válida en la
base de datos local. Si no la hay, cree una usando el comando
username nombre secret contraseña.
3. Deben generarse las claves secretas de una sola vía para que el switch
cifre el tráfico SSH. Estas claves se denominan claves asimétricas
RSA (Rivest, Shamir y Adleman). Primero configure el nombre de
dominio DNS de la red usando el comando ip domain-name en el
modo de configuración global. Luego para crear la clave RSA, use el
comando crypto key generate rsa en el modo de configuración
global.
4. En muchas versiones actuales de IOS la configuración se las sesiones
SSH vienen configuradas por defecto, sin embargo si fuera necesario
habilite las sesiones SSH vty de entrada con el comando de línea vty
transport input ssh. Para prevenir sesiones de telnet configure el
comando no transport input telnet para todas las líneas vty.
5. De manera opcional puede configurarse la versión 2 de SSH con el
comando de configuración global ip ssh version 2.
Switch#
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname CCNA
CCNA(config)#line vty 0 15
CCNA(config-line)#login local
CCNA(config-line)#transport input telnet ssh
CCNA(config-line)#exit
CCNA(config)#username ernesto secret cisco
CCNA(config)#ip domain-name aprenderedes.com
CCNA(config)#crypto key generate rsa
The name for the keys will be: ernesto.aprenderedes.com
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys.
Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
00:03:58: %SSH-5-ENABLED: SSH 1.99 has been enabled
Puede verificar el estado y las conexiones SSH con los comandos show ip
ssh y show ssh.
CCNA#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
CCNA#show ssh
Connection Version Mode Encryption State Username
0 2.0 IN DES Session started ernesto
Será posible conectarse usando un cliente SSH público y disponible
comercialmente ejecutándose en un host. Algunos ejemplos de estos clientes
son PuTTY, OpenSSH y TeraTerm.
RECUERDE:
El comando username secret cifra la contraseña del usuario por defecto mientras que el
comando username password muestra contraseña en texto plano. Ambos comandos tienen
el mismo efecto en el dispositivo y permiten establecer niveles de cifrado.
NOTA:
Asegúrese de que los dispositivos destino estén ejecutando una imagen IOS que soporte
SSH. Muchas versiones básicas o antiguas no lo soportan.
Guardar la configuración
Las configuraciones actuales son almacenadas en la memoria RAM, este tipo
de memoria pierde el contenido al apagarse el switch. Para que esto no ocurra
es necesario poder hacer una copia a la NVRAM. El comando copy se utiliza
con esta finalidad, identificando un origen con datos a guardar y un destino
donde se almacenarán esos datos. Se puede guardar la configuración de la
RAM a la NVRAM, de la RAM a un servidor TFTP, etc.
Copia de la RAM a la NVRAM:
Switch#copy running-config startup-config
Copia de la NVRAM a la RAM:
Switch#copy startup-config running-config
SW_2960#copy ?
flash: Copy from flash: file system
ftp: Copy fromftp: file system
running-config Copy from current system configuration
startup-config Copy from startup configuration
tftp: Copy from tftp: file system
SW_2960#copy running-config ?
flash: Copy to flash file
ftp: Copy to current system configuration
startup-config Copy to startup configuration
tftp: Copy to current system configuration
SW_2960#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Para la copia a un servidor TFTP se debe tener como mínimo una conexión
de red activa hacia el servidor (verifique la conexión a través de un ping); se
solicitará el nombre de archivo con el que se guardará la configuración y la
dirección IP del servidor.
SW_2960#ping 192.168.1.25
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.25, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
SW_2960#copy running-config tftp
Address or name of remote host []? 192.168.1.25
Destination filename [SW_2960-confg]?
Writing running-config....!!!!!!!!!!!!!!!!
[OK - 1080 bytes]
1080 bytes copied in 3.074 secs (0 bytes/sec)
La función SCP (Secure Copy) proporciona un método seguro y autenticado
para copiar configuraciones de los dispositivos o archivos de imágenes de
ellos. SCP se basa en SSH (Secure Shell), también requiere que AAA
(Authentication, Authorization y Accounting) esté configurado en el router
para determinar si el usuario tiene el nivel de privilegio correcto.
RECUERDE:
El comando copy identifica un origen y un destino para los datos a guardar. El resultado de la
copia sobrescribe los datos existentes, por lo tanto, se debe tener especial atención
asegurándose de que los datos que se copiarán son los correctos y que no se eliminarán
datos sensibles.
Los siguientes comandos muestran el contenido de la RAM y de la NVRAM
respectivamente.
Switch#show running-config
Switch#show startup-config
A continuación se copia parte de un show startup-config, se observa la
cantidad de memoria que se está utilizando, la versión del software IOS, la
contraseña cifrada, la configuración de la VLAN1 etc.:
SW_2960#show startup-config
Building configuration...
Current configuration : 6318 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname SW_2960
!
enable secret 5 $1$fZxC$SgtgUKRGpUBs15eMoLmyB80
!
vtp mode transparent
ip subnet-zero
--More—
interface Vlan1
ip address 192.168.59.49 255.255.255.0
!
ip default-gateway 192.168.59.1
no ip http server
!
line con 0
password 7 110461712590E00087A
login
line vty 0 4
--More—
NOTA:
La memoria RAM es la running-config, su contenido se pierde al apagar y no existe comando
para borrado. La memoria NVRAM es la startup-config, no pierde su contenido al apagar.
Borrado de las memorias
Los datos de configuración almacenados en la memoria no volátil no son
afectados por la falta de alimentación, el contenido permanecerá en la
NVRAM hasta tanto se ejecute el comando erase para su eliminación:
Switch#erase startup-config
SW_2960#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
Por el contrario no existe comando para borrar el contenido de la RAM. Si el
administrador pretende dejar sin ningún dato de configuración debe reiniciar
o apagar el switch. La RAM se borra únicamente ante la falta de alimentación
eléctrica:
SW_2960#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]
Para borrar completamente la configuración responda NO a la pregunta si
quiere salvar.
NOTA:
Tenga especial cuidado al borrar las memorias, asegúrese de eliminar lo que desea antes de
confirmar el borrado.
Copia de seguridad del IOS
Cuando sea necesario restaurar o actualizar el IOS puede hacerse desde un
servidor TFTP. Es importante que se guarden copias de seguridad de todas
las IOS en un servidor central.
El comando para esta tarea es el copy flash tftp, verifique el nombre del
archivo a guardar mediante el comando show flash:
SW_2960#show flash
Directory of flash:/
3 -rwx 736 Mar 1 1993 00:00:29 +00:00 vlan.dat4 -rwx 5 May 17 2012 05:49:12 +00:00 private-
config.text
5 -rwx 6394 May 17 2012 05:49:12 +00:00 config.text
7 drwx 192 Mar 1 1993 00:07:15 +00:00 c2960-lanbase-mz.122-
25.FX.bin
32514048 bytes total (24172032 bytes free)
SW_2960#copy flash tftp
Source filename []? c2960-lanbase-mz.122-25.FX.bin
Address or name of remote host []? 192.168.1.25
Destination filename [c2960-lanbase-mz.122-25.FX.bin]?
Writing c2960-lanbase-mz.122-
25FX.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 4414921 bytes]
4414921 bytes copied in 2.746 secs (1607000 bytes/sec)
En el proceso inverso al anterior puede utilizarse para IOS corruptas que
necesiten ser restablecidas o para actualizar la versión el IOS. Es importante
verificar si existe espacio suficiente en la memoria flash antes de iniciar el
proceso de copiado con el comando show flash. El comando copy tftp flash
inicia la copia desde el servidor TFTP. El dispositivo pedirá confirmación del
borrado antes de copiar en la memoria.
SW_2960#show flash
Directory of flash:/
3 -rwx 736 Mar 1 1993 00:00:29 +00:00 vlan.dat4 -rwx
5 May 17 2012 05:49:12 +00:00 private-config.text
5 -rwx 6394 May 17 2012 05:49:12 +00:00 config.text
7 drwx 192 Mar 1 1993 00:07:15 +00:00 c2960-lanbase-mz.122-
25.FX.bin
32514048 bytes total (24172032 bytes free)
SW_2960#copy tftp flash
Address or name of remote host []? 192.168.1.25
Source filename []? c2960-lanbase-mz.122-25.FX.bin
Destination filename [c2960-lanbase-mz.122-25.FX.bin]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device...
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
...erased
Erase of flash: complete
Accessing tftp://192.168.1.25/c2960-lanbase-mz.122-25.FX.bin...
Loading c2960-lanbase-mz.122-25.FX.bin from 192.168.1.25:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 4414921 bytes]
4414921 bytes copied in 2.699 secs (44443 bytes/sec)
RECUERDE:
A pesar de eliminar la configuración de la NVRAM las VLAN no se eliminan debido a que se
guardan en un archivo en la memoria flash llamado VLAN.dat.
RECUPERACIÓN DE CONTRASEÑAS
La recuperación de contraseñas le permite alcanzar el control administrativo
de su dispositivo si ha perdido u olvidado su contraseña. Para lograr esto
necesita conseguir acceso físico al switch, ingresar sin la contraseña, restaurar
la configuración y restablecer la contraseña con un valor conocido.
1. Conéctese a través del puerto de consola. Apague el switch y
vuelva a encenderlo mientras presiona el botón “MODE” (modo)
en la parte delantera del switch. Deje de presionar el botón
“MODE” luego de varios segundos o una vez que se apaga el
LED STAT.
Una información similar a la siguiente debe aparecer en la pantalla:
C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(11r)EA1,
RELEASE
SOFTWARE (fc1)
Compiled Mon 22-Jul-02 18:57 by federtec
WS-C2950-24 starting...
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The system has been interrupted prior to initializing the flash files
system. The following commands will initialize the flash files system,
and finish loading the operating system software:
flash_init
load_helper
boot
2. Para inicializar el sistema de archivos y terminar de cargar el
sistema operativo, introduzca los siguientes comandos:
switch: flash_init
switch: load_helper
switch: dir flash:
Directory of flash:/3 -rwx 736 Mar 1 1993 00:00 +00:00 vlan.dat
4 -rwx 5 May 1 2012 05:49 +00:00 private-config.text
5 -rwx 6394 May 1 2012 05:49 +00:00 config.text
7 drwx 192 Mar 1 1993 00:07 +00:00 c2960-lanbase-mz.122-
35.SE5
32514048 bytes total (24172032 bytes free)
No se olvide de escribir los dos puntos (:) después de la palabra
“flash” en el comando:
3. Escriba rename flash:config.text flash:config.old para cambiar
el nombre del archivo de configuración. Este archivo contiene la
definición de la contraseña.
switch: rename flash:config.text flash:config.old
4. Escriba boot para arrancar el sistema. Responda No a la pregunta:
Continue with the configuration dialog? [yes/no]: N
5. En el indicador del modo EXEC privilegiado, escriba rename
flash:config.old flash:config.text para cambiar el nombre del
archivo de configuración al nombre original.
Switch#rename flash:flash:config.old config.text
6. Copie el archivo de configuración a la memoria de la siguiente
manera:
Switch#copy flash:config.text system:running-config
Source filename [config.text]?[enter]
Destination filename [running-config][enter]
7. Se ha vuelto a cargar el archivo de configuración. Cambie las
contraseñas anteriores que se desconocen como se indica a
continuación:
Switch#configure terminal
Switch(config)#no enable secret
Switch(config)#enable password contraseña nueva
Switch(config)#enable secret contraseña nueva
Switch(config)#line console 0
Switch(config-line)#password contraseña nueva
Switch(config-line)#exit
Switch(config)#line vty 0 15
Switch(config-line)#password contraseña nueva
Switch(config-line)#exit
Switch(config)#exit
Switch#copy running-config startup-config
Destination filename [startup-config]?[enter]
Building configuration...
[OK]
CONFIGURACIÓN DE VLAN
La tecnología de VLAN está pensada básicamente para ser implementada la
capa de acceso del modelo jerárquico, donde los hosts se agregan a una u otra
VLAN de forma estática o de forma dinámica.
Configuración estática: es la realizada por un administrador creando
las VLAN y asignando manualmente los puertos a las respectivas
VLAN. Por defecto todos los puertos pertenecen a la VLAN1 hasta
que el administrador cambie esta configuración.
Configuración dinámica: se basa en la MAC del dispositivo que se
conecte a un puerto determinado, son utilizadas por ejemplo en el caso
de utilizar IEEE 802.1X para proporcionar seguridad. Las VLAN
dinámicas utilizan algún software de gestión para su funcionalidad.
Proceso de configuración de VLAN
El proceso de configuración de una estática VLAN debe seguir los siguientes
pasos:
Crear la VLAN.
Opcionalmente nombrar la VLAN.
Asociar uno o más puertos a la VLAN creada.
En la configuración de las VLAN se utiliza un nombre que identificará dicha
VLAN, sin embargo el switch solo tiene en cuenta el rango numérico de la
misma. Nombrar una VLAN es una tarea opcional pero que facilita
enormemente la tarea de los administradores.
El rango de configuración va desde 1 a 1005 y el rango ampliado va de 1006
a 4094. Las VLAN 1 y las 1002 a la 1005 son rangos reservados.
Switch(config)# vlan número
Switch(config-vlan)# name nombre
Switch(vlan)#exit
Una vez creada la VLAN es preciso asignar a ésta los puertos necesarios
siguiendo el siguiente proceso:
Switch(config)#interface tipo de interfaz número
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan número
En algunos casos la línea de comandos switchport mode access puede
suprimirse.
Para añadir una VLAN de voz se utiliza el siguiente comando:
Switch(config-if)#switchport voice vlan número
Muchos switches Cisco permiten añadir directamente un puerto a una VLAN
que todavía no he sido creada, este mecanismo crea la VLAN
automáticamente, sin embargo, a pesar de esta funcionalidad lo mejor es
crear primero la VLAN y luego asociar el puerto.
SW_2960(config)#interface fastEthernet 0/1
SW_2960(config-if)#switchport access Vlan 25
% Access VLAN does not exist. Creating vlan 25
SW_2960(config-if)#
RECUERDE:
La VLAN 1 es la VLAN nativa o de administración, que por defecto es a la que se le asigna la
dirección IP de gestión del switch.
Eliminación de VLAN
Para eliminar una VLAN desagrupe los puertos que estén asociados con esta
anteponiendo un no al comando swtichport. También es posible asociarlos a
otra VLAN para desvincularlos con la VLAN que se borrará. Elimine la
VLAN anteponiendo un no al comando de configuración. El switch no debe
estar en modo VTP cliente.
Switch(config)#interface tipo de interfaz número
Switch(config-if)#no switchport access vlan número
Switch(config)# no vlan número
Switch(vlan)#exit
Si el switch está en modo cliente y no es posible cambiarlo de modo VTP, o
ante inconsistencias de VLAN, será necesario eliminar el archivo de
información de la base de datos de la VLAN que está almacenado en la
memoria flash. Tenga especial cuidado de eliminar el archivo VLAN.dat y no
otro. A partir del siguiente reinicio todas las VLAN quedarán eliminadas.
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]?[Enter]
Delete flash:vlan.dat? [confirm][Intro]
Si no hay ningún archivo VLAN, aparece el siguiente mensaje:
%Error deleting flash:vlan.dat (No such file or directory)
NOTA:
Cuando se elimina una VLAN, los puertos asignados a ella quedan inactivos hasta que se
asignen a una nueva VLAN.
Verificación de VLAN
En el resumen de la información brindada por un show vlan que se muestra a
continuación se observa la asociación de las respectivas VLAN, con sus
puertos asociados:
SW_2960#show vlan
VLAN Name Status Ports
---- ---------------------- --------- ---------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
2 VENTAS active Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/10, Fa0/28, Fa0/30
Fa0/9, Fa0/11, Fa0/12, Fa0/13,
3 ADMINISTRACION active Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
4 LOGISTICA active Fa0/22, Fa0/23, Fa0/24, Fa0/25,
Fa0/26, Fa0/27, Fa0/29, Fa0/31,
Fa0/32, Fa0/33, Fa0/34, Fa0/35,
Fa0/36, Fa0/37, Fa0/38, Fa0/39,
Fa0/40, Fa0/41, Fa0/42, Fa0/43,
Fa0/44, Fa0/45, Fa0/46, Fa0/47,
Fa0/48
show vlan brief. Muestra la información de VLAN resumida.
show vtp status. Muestra la información del estado VTP.
show interface trunk. Muestra los parámetros troncales.
show spanning-tree vlan Nº. Muestra información sobre el estado
STP.
Switch# show spanning-tree vlan 100
VLAN0100
Spanning tree enabled protocol ieee
Root ID Priority 4200
Address 000b.5f65.1f80
Cost 4
Port 1 (GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32868 (priority 32768 sys-id-ext 100)
Address 000c.8554.9a80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Configuración de la interfaz SVI
Es posible asignar una dirección IP a una interfaz virtual SVI (Switch Virtual
Interface) que identifique a una VLAN en particular, lo que resulta de suma
utilidad cuando existe tráfico que entra y sale de dicha VLAN.
Para configurar una SVI se utilizan los siguientes comandos:
Switch(config)# interface vlan vlan-id
Switch(config-if)# ip address dirección-IP máscara
Switch(config-if)# no shutdown
Para que la interfaz SVI funcione correctamente se debe crear previamente la
VLAN y que a su vez esté activa y asignada a algún puerto de capa 2 que esté
habilitado. La interfaz SVI no debe estar en el estado shutdown.
La siguiente sintaxis muestra la configuración de una interfaz SVI:
Switch(config)# vlan 100
Switch(config-vlan)# name CCNP
Switch(config-vlan)# exit
Switch(config-if)#interface fastethernet 0/1
Switch(config-if)#switchport access vlan 100
Switch(config)# interface vlan 100
Switch(config-if)# ip address 192.168.0.1 255.255.255.0
Switch(config-if)# no shutdown
CONFIGURACIÓN DEL ENLACE TRONCAL
Por defecto los puertos de capa 2 de los switches son puertos de acceso que
por defecto pertenecen a la VLAN1, para que estos funcionen como puertos
troncales hay que configurarlos con el comando de interfaz switchport mode
trunk.
Switch(config)# interface tipo número
Switch(config-if)# switchport trunk encapsulation{isl | dot1q | negotiate}
Switch(config-if)# switchport trunk native vlan número
Switch(config-if)# switchport trunk allowed vlan {vlan-list | all | {add | except | remove} vlan-list}
Switch(config-if)# switchport mode {trunk | dynamic {desirable | auto}}
En la configuración de los troncales intervienen varios parámetros, en la
encapsulación existen tres posibilidades de configuración:
isl: el troncal se formará utilizando ISL.
dot1q: el troncal se formará utilizando IEEE 802.1Q.
negotiate: el troncal se formará utilizando el protocolo DTP de Cisco.
El comando switchport trunk native vlan solo se utiliza con la
encapsulación dot1q e indica que VLAN será la VLAN de administración o
nativa, por lo tanto no llevará etiqueta alguna.
El comando switchport trunk allowed vlan se utiliza para añadir o borrar
VLAN del troncal, aunque la opción except lo que hará será permitir todas
excepto la que se indique.
Existen tres modos de un puerto troncal.
trunk, por defecto es el estado del puesto troncal (que se recomienda).
dynamic desirable, inicia o responde dinámicamente a los mensajes
de negociación para elegir si desea iniciar un troncal.
dynamic auto, espera pasivamente recibir mensajes de negociación,
momento en el que responderá si desea utilizar el troncal.
Es importante tener en cuenta que en los casos donde exista demasiado
tráfico el troncal se puede aplicar no solo en una interfaz individual sino en
una agregación Fast EtherChannel o Gigabit EtherChannel ampliando así el
ancho de banda del enlace.
Para ver el estado de una interfaz troncal se utiliza el comando show
interface trunk, la sintaxis que sigue muestra un ejemplo:
Switch# show interface gigabitethernet 0/2 trunk
Port Mode Encapsulation Status Native vlan
Gi2/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi2/1 1-4094
Port Vlans allowed and active in management domain
Gi2/1 1-2,526,539,998,1002-1005
Port Vlans in spanning tree forwarding state and not pruned
Gi2/1 1-2,526,539,998,1002-1005
Configuración de VLAN nativa
Cuando un switch local recibe tramas doblemente etiquetadas como si se
utilizara 802.1Q decide enviarlas a través de las interfaces troncales. El
ataque consiste en engañar al switch como si el enlace fuera un troncal a
través de las etiquetas falsas 802.1Q y de la VLAN a donde se quiere llegar.
La clave para el ataque VLAN Hopping se basa en que la VLAN nativa no
viaja etiquetada. Para solucionar este tipo de ataques se pueden seguir los
siguientes pasos:
Configurar la VLAN nativa como una VLAN falsa o una que no esté
en uso.
Recortar la VLAN nativa de los enlaces del troncal.
Por ejemplo si el troncal solo debe llevar las VLAN 10 y 20, se debería
configurar la VLAN nativa con un valor de una VLAN que no se esté
utilizando, por lo tanto, la VLAN nativa podría recortarse del troncal
configurándolo en el propio enlace según muestra la siguiente sintaxis:
Switch(config)# vlan 500
Switch(config-vlan)# name Nativa
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 800
Switch(config-if)# switchport trunk allowed vlan remove 800
Switch(config-if)# switchport mode trunk
El parámetro switchport trunk allowed permite limitar adminstrativamente
las VLAN cuyo tráfico utiliza el truncal.
Otra alternativa es forzar a los troncales 802.1Q para añadir etiquetas a la
VLAN nativa, de esta manera el ataque no funcionará porque el switch no
eliminará la primera etiqueta de la VLAN nativa etiquetada. Para forzar al
switch a etiquetar la VLAN nativa se utiliza el siguiente comando:
Switch(config)# vlan dot1q tag native
Dynamic Trunking Protocol
DTP (Dynamic Trunking Protocol) es un protocolo propietario de Cisco que
se utiliza entre switches directamente conectados y que negocia de manera
automática la creación de enlaces troncales entre ellos así como el tipo de
encapsulación (ISL o 802.1q).
DTP no funciona entre switches con diferente nombre de dominio VTP, es
decir, que solo puede utilizarse entre switches del mismo dominio o bien si
uno de los switches no tiene definido un nombre de domino VTP (NULL) y
el otro sí.
Si bien DTP puede facilitar la administración del switch, se expone a que los
puertos del switch queden comprometidos. Si un puerto mantiene su
configuración por defecto donde el trunk está en auto, podría ser indagado
por un puerto de otro switch también en auto u on enlazando entonces un
troncal.
Enrutamiento entre VLAN
Para que las VLAN puedan establecer comunicación entre ellas debe ser
necesarios que el switch sea multicapa o a través de un router comúnmente
llamado router on a stick. La interconexión puede establecerse directamente
a través de interfaces físicas a cada VLAN o con un enlace troncal. Para esto
se deben establecer subinterfaces FastEthernet, con su encapsulación y
dirección IP correspondiente de manera que cada una de estas subinterfaces
pertenezca a un VLAN determinada.
La complementación del filtrado de trama en los switches y las listas de
acceso en los routers, hacen que la seguridad sea uno de los factores
primordiales en el uso de las VLAN.
Enrutamiento típico entre VLAN con enlaces troncales redundantes hacia los routers
Enrutamiento entre VLAN con diferentes enlaces
Los pasos que siguen establecen las configuraciones de una subinterfaz
FastEthernet en un router:
Router(config)#interface fastethernet [Nºde slot/Nºde interfaz.Nºde subinterfaz]
Router(config-subif)#encapsulation [dot1q|ISL] [Nºde vlan]
Router(config-subif)#ip address [dirección IP+máscara]
Router(config-subif)#exit
Router(config)#interface fastethernet [Nºde slot/Nºde interfaz]
Router(config-if)#no shutdown
RECUERDE:
Para que la subinterfaz no esté caída se debe ejecutar el comando no shutdown
directamente desde la interfaz física.
CONFIGURACIÓN DE STP
La configuración de STP viene habilitada por defecto. Cisco desarrolló
PVST+ para que una red pueda ejecutar una instancia de STP para cada
VLAN de la red. La creación de distintos switches raíz en STP por VLAN
genera una red más redundante. En ciertos casos será necesaria la
configuración de la prioridad, cada switch posee la misma prioridad
predeterminada (32768) y la elección del puente raíz para cada VLAN se
basará en la dirección MAC. Esta elección en ciertos casos puede no ser la
más conveniente.
switch(config)#spanning-tree vlan número priority [0-61440]
switch(config)#spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
switch(config)#interface Fastethernet Nº
switch(config-if)#spanning-tree link-type ?
point-to-point Consider the interface as point-to-point
shared Consider the interface as shared
En ciertos casos será necesario desactivar STP aunque se recomienda
enfáticamente no deshabilitar STP. En general, STP no es muy exigente para
el procesador.
switch(config)#no spanning-tree vlan Nº
En la siguiente captura se observa resaltado la prioridad y más abajo el estado
y roll de los puertos.
switch#show spanning-tree vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 8192
Address 0003.a0ea.f800
Cost 4
Port 27 (GigabitEthernet1/0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 001b.90b1.8680
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- ----
Gi1/0/3 Root FWD 4 128.27 P2p
Gi3/0/4 Altn BLK 4 128.132 P2p
PortFast y BPDU Guard
Existen métodos adicionales que hacen que la convergencia STP sea más
rápida en casos de fallos del enlace. Estos métodos son los siguientes:
PortFast, habilita conectividad rápida para los puertos conectados a
estaciones de trabajo o equipos terminales mientras estos están
inicializando.
Uplink Fast, habilita el enlace uplink rápido del switch en la capa de
acceso cuando existen conexiones duales hacia la capa de distribución.
BackboneFast, habilita una rápida convergencia en el core de la red
después de que un cambio de topología ocurre en STP.
En puertos de switch que conectan solo hacia simples estaciones de trabajo
los bucles de capa 2 nunca serán posibles. Los switches Catalyst ofrecen la
característica PortFast la cual baja los tiempos de cambio de estado de STP.
Cuando el enlace de la estación de trabajo se levanta en el puerto PortFast, el
switch mueve inmediatamente el estado del puerto a enviando. Una de las
características más ventajosas es que las BPDU TCN no son enviadas ante
los cambios de estado de los puertos configurados como PortFast.
Por defecto, PortFast está deshabilitado en todos los puertos. Para
configurarlo a todos los puertos de acceso se puede utilizar el siguiente
comando:
Switch(config)# spanning-tree portfast default
Cuando PortFast es habilitado no se espera encontrar ningún dispositivo que
genere BPDU, es decir, nada que pueda provocar un bucle. Cuando por error
se conecta un switch a un puerto en el que se ha habilitado PortFast, existe un
problema potencial de que se genere un bucle y aún más cuando el nuevo
switch se anuncia como posible root bridge. La característica BPDU Guard
fue creada para garantizar la integridad de los puertos del switch PortFast
para que si alguna BPDU es recibida, el puerto se ponga inmediatamente en
estado errdisable. El puerto pasa a una condición de error y es desactivado,
teniendo que ser manualmente rehabilitado o automáticamente recuperado a
través de la función de un temporizador.
Por defecto BPDU Guard está deshabilitado en todos los puertos del switch
pudiendo configurarse con el siguiente comando:
Switch(config)# spanning-tree portfast bpduguard default
Switch(config-if)# spanning-tree bpduguard enable
CONFIGURACIÓN DE VTP
Los switches que utilizan VTP, versión 1 o versión 2, anuncian las VLAN
(solo desde la 1 hasta la 1005), números de versión de configuración y
parámetros de cada VLAN por los trunk para notificar esta información al
resto de los switches de dominio mediante mensajes de multicast. La versión
3 de VTP permite la utilización de VLAN en el rango extendido de 1-4096,
lo que haría a VTP compatible con el estándar IEEE 802.1Q.
Por defecto los switches utilizan la versión 1. Cambiar la versión de VTP es
tan simple como introducir este comando en el modo de configuración
global:
Switch(config)# vtp version {1 | 2 | 3}
El nombre de dominio soporta un máximo de 32 caracteres y se configura
con el siguiente comando:
Switch(config)# vtp domain domain-name
Por defecto, los switches vienen configurados en modo servidor. Para
configurar el modo y la contraseña en las actualizaciones VTP se utilizan los
siguientes comandos:
Switch(config)# vtp mode { server | client | transparent | off }
Switch(config)# vtp password password [ hidden | secret ]
La contraseña se configura únicamente en los clientes y servidores VTP.
El siguiente es un ejemplo de la configuración de un servidor VTP.
Switch(config)# vtp version 1
Switch(config)# vtp domain CCNAvtp
Switch(config)# vtp mode server
Switch(config)# vtp password PaSsWoRd
La siguiente sintaxis de un show vtp status muestra la configuración de un
switch servidor.
switch#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 64
Number of existing VLANs : 5
VTP Operating Mode : Servidor
VTP Domain Name : ccNa
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x8C 0x29 0x40 0xDD 0x7F 0x7A 0x63
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
NOTA:
Muchos de los comandos utilizados a lo largo de este capítulo poseen gran cantidad de
parámetros opcionales, para facilitar el aprendizaje estos han sido simplificados.
:CASO PRÁCTICO
Configuración de VLAN
Ejemplo de la creación de una VLAN 2 RRHH y una VLAN 3 Ventas y su
asociación a los puertos correspondientes, 12 y 15 VLAN 3 y los puertos 16
al 24 (configurado por rango) VLAN 2.
Switch(config)# vlan 3
Switch(config-vlan)# name Ventas
Switch(vlan)#exit
VLAN 3 added:
Name: Ventas
Switch(vlan)#exit
Switch(config)#interface fastethernet 0/12
Switch(config-if)#switchport access vlan 3
Switch(config)#interface fastethernet 0/15
Switch(config-if)#switchport access vlan 3
Switch(config)# vlan 2
Switch(config-vlan)# name RRHH
Switch(vlan)#exit
VLAN 2 added:
Name: RRHH
Switch(vlan)#exit
Switch(config)#interface fastethernet 0/16-24
Switch(config-if)#switchport access vlan 2
El enlace troncal se realiza a través del puerto GigabitEthernet 0/1, según
muestra la sintaxis.
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Configuración del troncal en el router
Ejemplo de configuración de un enlace troncal sobre dos subinterfaces
GigabitEthernet:
Router(config)#interface GigabitEthernet 0/0.1
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 192.168.1.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface GigabitEthernet 0/0.2
Router(config-subif)#encapsulation dot1q 3
Router(config-subif)#ip address 200.200.10.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#no shutdown
FUNDAMENTOS PARA EL EXAMEN
Memorice los parámetros para la configuración de un emulador de
consola para la configuración inicial de un switch.
Estudie los comandos básicos para la configuración del switch.
Recuerde los pasos en el proceso de recuperación de contraseñas y
para qué sirve cada uno de ellos.
Aprenda como aumentar la seguridad de acceso al switch con SSH.
Recuerde que es, para que sirve y los pasos básicos en el proceso de
configuración de VLAN.
Analice otras opciones de creación de VLAN y como eliminarlas.
Memorice los comandos para la configuración de VTP.
Analice el funcionamiento de los routers en el enrutamiento entre
VLAN y cuáles son los aspectos básicos para ello.
Recuerde los comandos show que permiten visualizar el
funcionamiento de las VLAN.
Memorice los comandos STP y como se puede mejorar una topología
STP.
Analice en que se diferencian LACP y PAgP.
Repase para que sirve y como funciona PoE
Tenga claro las diferencias entre puerto de acceso, puerto troncal,
puerto de voz. Analice sus configuraciones.
Ejercite los pasos para realizar copias de seguridad de las
configuraciones y de las IOS.
Piense como se puede aumentar la seguridad en los enlaces troncales.
Ejercite todas las configuraciones en dispositivos reales o en
simuladores.
5
CONCEPTOS DE ENRUTAMIENTO
DETERMINACIÓN DE RUTAS IP
Para que un dispositivo de capa tres pueda determinar la ruta hacia un destino
debe tener conocimiento de las diferentes rutas hacia él y cómo hacerlo. El
aprendizaje y la determinación de estas rutas se lleva a cabo mediante un
proceso de enrutamiento dinámico a través de cálculos y algoritmos que se
ejecutan en la red o enrutamiento estático ejecutado manualmente por el
administrador o incluso ambos métodos.
La información de enrutamiento que el router aprende desde sus fuentes se
coloca en su propia tabla de enrutamiento. El router se vale de esta tabla para
determinar los puertos de salida que debe utilizar para retransmitir un paquete
hasta su destino.
La tabla de enrutamiento es la fuente principal de información del router
acerca de las redes. Si la red de destino está conectada directamente, el router
sabrá de antemano el puerto que debe usar para reenviar paquetes. Si las
redes de destino no están conectadas directamente, el router debe aprender y
calcular la ruta óptima a usar para reenviar paquetes a dichas redes. La tabla
de enrutamiento se construye mediante uno de estos dos métodos o ambos:
Rutas estáticas. Aprendidas por el router a través del administrador,
que establece dicha ruta manualmente, quien también debe actualizar
cuando tenga lugar un cambio en la topología.
Rutas dinámicas. Rutas aprendidas automáticamente por el router a
través de la información enviada por otros routers, una vez que el
administrador ha configurado un protocolo de enrutamientoque
permite el aprendizaje dinámico de rutas.
Para poder enrutar paquetes de información un router debe conocer lo
siguiente:
Dirección de destino: dirección a donde han de ser enviados los
paquetes.
Fuentes de información: fuente (otros routers) de donde el router
aprende las rutas hasta los destinos especificados.
Descubrir las posibles rutas hacia el destino: rutas iniciales posibles
hasta los destinos deseados.
Seleccionar las mejores rutas: determinar cuál es la mejor ruta hasta
el destino especificado.
Mantener las tablas de enrutamiento actualizadas: mantener
conocimiento actualizado de las rutas al destino.
Distancia administrativa
Los routers son multiprotocolos, lo que quiere decir que pueden utilizar al
mismo tiempo diferentes protocolos incluidas rutas estáticas. Si varios
protocolos proporcionan la misma información de enrutamiento se les debe
otorgar un valor administrativo. La distancia administrativa permite que un
protocolo tenga mayor prioridad sobre otro si su distancia administrativa es
menor. Este valor viene por defecto, sin embargo el administrador puede
configurar un valor diferente si así lo determina.
El rango de las distancias administrativas varía de 1 a 255 y se especifica en
la siguiente tabla:
Interfaz física 0
Ruta estática 1
Ruta sumarizada EIGRP 5
BGP externo 20
EIGRP interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Inalcanzable 255
Valor predeterminado de distancia administrativa
Métricas
Las métricas utilizadas habitualmente por los protocolos de enrutamiento
pueden calcularse basándose en una sola o en múltiples características de la
ruta. Existen diferentes protocolos de enrutamiento y cada uno utiliza
métricas diferentes.
Número de saltos: número de routers por los que pasará un paquete.
Tic tac (Novell): retraso en un enlace de datos usando pulsos de reloj
de PC IBM (msg).
Coste: valor arbitrario, basado generalmente en el ancho de banda, el
coste económico u otra medida, que puede ser asignado por un
administrador de red.
Ancho de banda: capacidad de datos de un enlace. Por ejemplo, un
enlace Ethernet de 10Mb será preferible normalmente a una línea
dedicada de 64Kb.
Retraso: tiempo en mover un paquete de un origen a un destino.
Carga: cantidad de actividad existente en un recurso de red, como un
router o un enlace.
Fiabilidad: normalmente, se refiere al valor de errores de bits de cada
enlace de red.
MTU (Maximum Transmission Unit): longitud máxima de trama en
octetos que puede ser aceptada por todos los enlaces de la ruta.
Los valores de la métrica y de la distancia administrativa pueden verse en la
tabla de enrutamiento encerrado entre corchetes. El ejemplo se basa en una
topología OSPF, donde el primero de los valores corresponde a la DA (110) y
el segundo a la métrica.
Router# show ip route
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
O E2 172.16.20.128/29 [110/20] via 172.16.20.9, 00:00:29, Serial1
O IA 172.16.20.128/26 [110/74] via 172.16.20.9, 00:01:29, Serial1
C 172.16.20.8/29 is directly connected, Serial1
O E2 192.168.0.0/24 [110/20] via 172.16.20.9, 00:01:29, Serial1
ENRUTAMIENTO ESTÁTICO
Las rutas estáticas se definen administrativamente y establecen rutas
específicas que han de seguir los paquetes para pasar de un puerto de origen
hasta un puerto de destino. Se establece un control preciso del enrutamiento
según los parámetros del administrador.
Las rutas estáticas por defecto (default) especifican una puerta de enlace
(gateway) de último recurso, a la que el router debe enviar un paquete
destinado a una red que no aparece en su tabla de enrutamiento, es decir, que
desconoce.
Las rutas estáticas se utilizan habitualmente en enrutamientos desde una red
hasta una red de conexión única, ya que no existe más que una ruta de
entrada y salida en una red de conexión única, evitando de este modo la
sobrecarga de tráfico que genera un protocolo de enrutamiento.
La ruta estática se configura para conseguir conectividad con un enlace de
datos que no esté directamente conectado al router. Para conectividad de
extremo a extremo, es necesario configurar la ruta en ambas direcciones. Las
rutas estáticas permiten la construcción manual de la tabla de enrutamiento.
El comando ip route configura una ruta estática, los parámetros siguientes al
comando definen la ruta estática.
Una ruta estática se representa con una “S” en la tabla de enrutamiento:
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B – BGP, D - EIGRP, EX -
EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF
NSSA external type 2, E1 - OSPF external type 1, E2 - OSPF external type 2, E – EGP i - IS-IS,
su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate
default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
161.44.0.0/24 is subnetted, 1 subnets
C 161.44.192.0 is directly connected, Ethernet0
131.108.0.0/24 is subnetted, 1 subnets
C 131.108.99.0 is directly connected, Serial0
S 198.10.1.0/24 [1/0] via 161.44.192.2
NOTA:
Es necesario configurar una ruta estática en sentido inverso para conseguir una
comunicación en ambas direcciones.
Rutas estáticas por defecto
Una ruta estática por defecto (default), predeterminada o de último recurso es
un tipo especial de ruta estática que se utiliza cuando no se conoce una ruta
hasta un destino determinado, o cuando no es posible almacenar en la tabla
de enrutamiento la información relativa a todas las rutas posibles.
Router_B(config)# ip route 0.0.0.0 0.0.0.0 Serial 0
El gráfico ilustra un ejemplo de utilización de una ruta estática por default, el
router B tiene configurada la ruta por defecto hacia el exterior como única
salida/entrada del sistema autónomo 100, los demás routers aprenderán ese
camino gracias a la redistribución que el protocolo hará dentro del sistema
autónomo.
Una ruta estática por defecto se representa con una “S*” en la tabla de
enrutamiento.
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B – BGP, D - EIGRP, EX -
EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF
NSSA external type 2, E1 - OSPF external type 1, E2 - OSPF external type 2, E – EGP i - IS-IS,
su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate
default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is 161.44.192.2 to network 198.10.1.0
161.44.0.0/24 is subnetted, 1 subnets
C 161.44.192.0 is directly connected, Ethernet0
131.108.0.0/24 is subnetted, 1 subnets
C 131.108.99.0 is directly connected, Serial0
S* 198.10.1.0/24 [1/0] via 161.44.192.2
Rutas estáticas flotantes
Una ruta estática flotante es una ruta estática que el router utiliza para
respaldar una ruta dinámica. Debe configurar una ruta estática flotante con
una distancia administrativa más alta que la ruta dinámica a la que hará de
respaldo.
Recuerde que el router basa su decisión en el concepto de distancia
administrativa (AD). La ruta que tenga una distancia administrativa más baja
será la que se escoja como primera opción para alcanzar la red de destino y la
otra quedará como respaldo. En este caso, el router escogerá la ruta dinámica
ante una ruta estática flotante. Se puede utilizar una ruta estática flotante. Por
lo tanto, una ruta estática se puede utilizar como una ruta estática flotante con
una distancia administrativa más alta que la ruta dinámica como alternativa si
se pierde la ruta aprendida por el protocolo de enrutamiento.
Rutas locales
En las nuevas versiones de Cisco aparecen en la tabla de enrutamiento rutas
identificadas como “L”. Las rutas locales de IPv6 han existido siempre,
mientras que las rutas locales o rutas de host IPv4 fueron añadidas a partir
de la característica de enrutamiento Multi-topología (MTR).
Las rutas de host permitenver en la tabla de enrutamiento la dirección IP de
la interfaz del router, mientras que con las versiones anteriores la “C”
únicamente identificaba a la red directamente conectada.
Hay tres maneras de crear una ruta de host:
Automáticamente, Cisco IOS instala una ruta de host, cuando una
dirección de interfaz está configurada en el router.
Manualmente, como una ruta estática configurada para dirigir el
tráfico a un dispositivo de destino específico.
Una ruta de host se obtiene de forma automática a través de otros
métodos.
En el siguiente ejemplo las direcciones IP asignadas a Ethernet0/0 son
10.1.1.1/30 para IPv4 y 2001:db8::1/64 para el IPv6. Ningunas son rutas de
host. Recuerde que una ruta host para el IPv4 tiene la máscara /32, y una ruta
del host para el IPv6 tiene la máscara /128.
Para cada direccionamiento IPv4 y IPv6, Cisco IOS instala las rutas de host
en las tablas de enrutamiento respectivas. Las rutas locales se identifican con
un “L” en la salida del comando show ip route. Ahora las direcciones
10.1.1.1/32 y 2001:db8::1/128 aparecen como rutas de host local
respectivamente. La ruta FF00::/8 es también una ruta local, pero esta ruta es
necesaria para el enrutamiento multicast:
Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP,
M - mobile, B – BGP, D - EIGRP, EX - EIGRP external, O -
OSPF, IA - OSPF inter area, N1 - OSPF NSSA external type 1,
N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, E2
- OSPF external type 2, i - IS-IS, su - IS-IS summary, L1 -
IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, * -
candidate default, U - per-user static route o - ODR, P -
periodic downloaded static route, H - NHRP + - replicated route, % - next hop override
Gateway of last resort is not set
C 10.1.1.0/30 is directly connected, Ethernet0/0
L 10.1.1.1/32 is directly connected, Ethernet0/0
Router#show ipv6 route
IPv6 Routing Table - default - 3 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user
Static route, B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2
IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP
external, ND - Neighbor Discovery, O - OSPF Intra, OI - OSPF
Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA
ext 1, ON2 - OSPF NSSA ext 2
C 2001:DB8::/64 [0/0]
via Ethernet0/0, directly connected
L 2001:DB8::1/128 [0/0]
via Ethernet0/0, receive
L FF00::/8 [0/0]
via Null0, receive
Las rutas locales tienen la distancia administrativa de 0, que es la misma
distancia administrativa que las rutas directamente conectadas “C”. Sin
embargo, cuando se configura la redistribución, se redistribuyen únicamente
las rutas directamente conectadas, pero las rutas locales no.
El comando show ipv6 route local se utiliza para verificar solamente las
rutas locales IPv6.
ENRUTAMIENTO DINÁMICO
Los cambios que una red puede experimentar hacen poco factible la
utilización de rutas estáticas, el administrador se vería forzado a reconfigurar
los routers ante cada cambio. El enrutamiento dinámico permite que los
routers actualicen conocimientos ante posibles cambios sin tener que recurrir
a nuevas configuraciones. Un protocolo de enrutamiento permite determinar
dinámicamente las rutas y mantener actualizadas sus tablas.
Es importante diferenciar los protocolos enrutados y los de enrutamiento.
Un protocolo enrutado lleva una completa información de capa tres, como
TCP/IP, IPX, APPLE TALK, Net BEUI. Un protocolo de enrutamiento es el
utilizado por los routers para mantener tablas de enrutamiento y así poder
elegir la mejor ruta hacia un destino.
Existen dos grandes núcleos de protocolos de enrutamiento:
Protocolos de gateway interior (IGP). Se usan para intercambiar
información de enrutamiento dentro de un sistema autónomo. (RIP,
EIGRP, OSPF).
Protocolos de gateway exterior (EGP). Se usan para intercambiar
información de enrutamiento entre sistemas autónomos. (BGP).
Clases de protocolos de enrutamiento
Todos los protocolos de enrutamiento cumplen las mismas funciones,
aprendiendo y determinando cuál es la mejor ruta hacia un destino.
Existen dos clases de protocolos de enrutamiento:
Vector distancia: este tipo de protocolo determina la dirección y la
distancia a cualquier red.
Estado de enlace: estos protocolos poseen una idea exacta de la
topología de la red y no efectúan actualizaciones a menos que ocurra
un cambio en la topología.
Un tercer caso de protocolo de enrutamiento sería un método híbrido como es
el caso de EIGRP, diseñado por Cisco, que combina aspectos de los dos
casos anteriores.
Un protocolo de enrutamiento también puede clasificarse como classfull (con
clase) o classless (sin clase), es decir, que pueden no reconocer las máscaras
de subred como en el caso de los classfull o sí pueden hacerlo en el caso de
los classless.
Los routers que no pasan la información de las subredes son con clase,
porque el router solo codifica la clase de red IP para la información de
enrutamiento. En cuanto el direccionamiento IP fue adaptándose a las
necesidades de crecimiento los protocolos se hicieron más sofisticados,
pudiendo manipular máscaras de subred, estos protocolos son los llamados
sin clase.
Un administrador puede habilitar el comando ip classless para el caso que se
reciba un paquete hacia una subred desconocida, el router enviará ese paquete
a la ruta predeterminada para enviar la trama al siguiente salto.
Sistema autónomo
Un sistema autónomo (AS) es un conjunto de redes bajo un dominio
administrativo común. El uso de números de sistema autónomos asignados
por entidades (IANA, ARIN, RIPE) solo es necesario si el sistema utiliza
algún BGP, o una red pública como Internet.
Los sistemas autónomos intercambian información a través de protocolos de gateway exterior
como BGP
ENRUTAMIENTO VECTOR DISTANCIA
Los algoritmos de enrutamiento basados en vectores pasan copias periódicas
de una tabla de enrutamiento de un router a otro y acumulan vectores de
distancia. Distancia es una medida de longitud, mientras que vector significa
una dirección. Las actualizaciones regulares entre routers comunican los
cambios en la topología. Cada protocolo de enrutamiento basado en vectores
de distancia utiliza un algoritmo distinto para determinar la ruta óptima. El
algoritmo genera un número, denominado métrica de ruta, para cada ruta
existente a través de la red. Normalmente cuanto menor es este valor, mejor
es la ruta.
Los dos ejemplos típicos de protocolos por vector distancia son:
RIP (Routing Information Protocol). Protocolo suministrado con los
sistemas UNIX. Es el protocolo de gateway interior (IGP) más
comúnmente utilizado. RIP utiliza el número de saltos como métrica
de enrutamiento. Existen dos versiones, RIP v1 como protocolo tipo
Classfull y RIP v2, más completo que su antecesor, como protocolo
classless.
IGRP (Interior Gateway Routing Protocol). Protocolo desarrollado
por Cisco para tratar los problemas asociados con el enrutamiento en
redes de gran envergadura. IGRP es un protocolo tipo classfull.
BUCLES DE ENRUTAMIENTO
El proceso de mantener la información de enrutamiento puede generar errores
si no existe una convergencia rápida y precisa entre los routers. En los
diseños de redes complejas pueden producirse bucles o loops de
enrutamiento. Los routers transmiten a sus vecinos actualizaciones
constantes, si un router A recibe de B una actualización de una red que ha
caído, este transmitirá dicha información a todos sus vecinos incluido el
router B, quien primeramente le informó de la novedad, a su vez el router B
volverá a comunicar que la red se ha caído al router A formándose un bucle
interminable.
Solución a los bucles de enrutamiento
Los protocolos vector distancia poseen diferentes métodos para evitar los
bucles de enrutamiento, generalmente estas herramientas funcionan por sí
mismas (por defecto); sin embargo, en algunos casos pueden desactivarse con
el consiguiente riesgo que pudiera generar un bucle de red.
Horizonte dividido
Resulta sin sentido volver a enviar información acerca de una ruta a la
direcciónde donde ha venido la actualización original. A menos que el router
conozca otra ruta viable al destino, horizonte dividido o split horizon no
devolverá información por la interfaz donde la recibió.
La información fluye en un mismo sentido
Métrica máxima
Un protocolo de enrutamiento permite la repetición del bucle de enrutamiento
hasta que la métrica exceda del valor máximo permitido. Los routers agregan
a la información de enrutamiento la cantidad de saltos transcurridos desde el
origen a medida que los paquetes son enrutados. En el caso de RIP el bucle
solo estará permitido hasta que la métrica llegue a 16 saltos.
Cuando el paquete sume 16 saltos será descartado por RIP
Envenenamiento de rutas
El router crea una entrada en la tabla donde guarda el estado coherente de la
red en tanto que otros routers convergen gradualmente y de forma correcta
después de un cambio en la topología. La actualización inversa es una
operación complementaria del horizonte dividido. El objetivo es asegurarse
de que todos los routers del segmento hayan recibido información acerca de
la ruta envenenada. El router agrega a la información de enrutamiento la
cantidad máxima de saltos.
El envenenamiento utiliza la métrica máxima para indicar que se trata de una ruta
inalcanzable
Temporizadores de espera
Los temporizadores hacen que los routers no apliquen ningún cambio que
pudiera afectar a las rutas durante un período de tiempo determinado. Si llega
una actualización con una métrica mejor a la red inaccesible, el router se
actualiza y elimina el temporizador. Si no recibe cambios óptimos dará por
caída la red al transcurrir el tiempo de espera.
RECUERDE:
Los protocolos vector distancia inundan la red con broadcast de actualizaciones de
enrutamiento.
ENRUTAMIENTO ESTADO DE ENLACE
Los protocolos de estado de enlace construyen tablas de enrutamiento
basándose en una base de datos de la topología. Esta base de datos se elabora
a partir de paquetes de estado de enlace que se pasan entre todos los routers
para describir el estado de una red.
El algoritmo SPF (Shortest Path First) usa una base de datos para construir la
tabla de enrutamiento. El enrutamiento por estado de enlace utiliza la
información resultante del árbol SFP, a partir de los paquetes de estado de
enlace (LSP) creando una tabla de enrutamiento con las rutas y puertos de
toda la red.
Los protocolos de enrutamiento por estado de enlace recopilan la información
necesaria de todos los routers de la red, cada uno de los routers calcula de
forma independiente su mejor ruta hacia un destino. De esta manera se
producen muy pocos errores al tener una visión independiente de la red por
cada router.
Estos protocolos prácticamente no tienen limitaciones de saltos. Cuando se
produce un fallo en la red el router que detecta el error utiliza una dirección
multicast para enviar una tabla LSA, cada router recibe y la reenvía a sus
vecinos. La métrica utilizada se basa en el coste, que surge a partir del
algoritmo de Dijkstra y se basa en la velocidad del enlace.
Los protocolos de estado de enlace son protocolos de enrutamiento de
gateway interior, se utilizan dentro de un mismo AS (Autonomous System) el
que puede dividirse en sectores más pequeños como divisiones lógicas
llamadas áreas. El área 0 es el área principal del AS. Este área también es
conocida como área de backbone.
Jerarquía de estado de enlace dentro de un sistema autónomo
Los dos ejemplos típicos de protocolos de estado de enlace son:
IS-IS (Intermediate System to intermediate System). Protocolo de
enrutamiento jerárquico de estado de enlace casi en desuso hoy en día.
OSPF (Open Shortest Path First). Protocolo de enrutamiento por
estado de enlace jerárquico, que se ha propuesto como sucesor de RIP
en la comunidad de Internet. Entre las características de OSPF se
incluyen el enrutamiento de menor coste, el enrutamiento de múltiples
rutas y el balanceo de carga.
Vector distancia Vs Estado de enlace
Los protocolos de estado de enlace son más rápidos y más escalables que los
de vector distancia, algunas razones podrían ser:
Los protocolos de estado de enlace solo envían actualizaciones cuando
hay cambios en la topología.
Las actualizaciones periódicas son menos frecuentes que en los
protocolos por vector de distancia.
Las redes que ejecutan protocolos de enrutamiento por estado de
enlace soportan direccionamiento sin clase.
Las redes con protocolos de enrutamiento por estado de enlace
soportan resúmenes de ruta.
Las redes que ejecutan protocolos de enrutamiento por estado de
enlace pueden ser segmentadas en distintas áreas jerárquicamente
organizadas, limitando así el alcance de los cambios de rutas.
Los protocolos enrutables son utilizados por los PC para poder “hablar” entre ellos
Los protocolos de enrutamiento son utilizados por los routers
NOTA:
El término convergencia hace referencia a la capacidad de los routers de poseer la misma
información de enrutamiento actualizada. Las siglas VLSM son las de máscara de subred de
longitud variable.
RECUERDE:
Protocolo RIP RIPv2 IGRP EIGRP IS-IS OSPF
Vector distancia X X X X
Estado de enlace X X
Resumen automático de ruta X X X X X
Resumen manual de ruta X X X X X X
Soporte VLSM X X X X
Diseñado por Cisco X X
Convergencia Lento Lento Lento Muy rápido Muy rápido Muy rápido
Distancia administrativa 120 120 100 90 115 110
Tiempo de actualización 30 30 90
Métrica Saltos Saltos Compuesta Compuesta Coste Coste
RECUERDE:
Mientras los campos IP se mantienen intactos a lo largo de la ruta, las tramas cambian en
cada salto con la MAC correspondiente al salto siguiente.
FUNDAMENTOS PARA EL EXAMEN
Tome en cuenta las diferencias entre enrutamiento estático y dinámico,
aprendizaje de direcciones y cuál es la manera más adecuada para
aplicarlas.
Analice las condiciones básicas necesarias para la aplicación de rutas
estáticas y rutas estáticas por defecto y cuáles son los parámetros de
configuración de cada una de ellas.
Recuerde qué es y para qué sirve un sistema autónomo.
Recuerde qué es la distancia administrativa, como funciona en los
procesos de enrutamiento y sus diferentes valores.
Analice y asimile el funcionamiento de los protocolos de
enrutamiento.
Estudie cómo funciona un protocolo vector distancia, cuáles son y sus
respectivas métricas.
Analice la problemática de los bucles de enrutamientos y sus posibles
soluciones razonando el funcionamiento de cada una de ellas.
Recuerde para que se utilizan los IGP y los EGP.
Piense en que consiste una ruta estática de respaldo o flotante.
Estudie cómo funciona un protocolo de estado de enlace, cuáles son,
sus jerarquías y compárelos con los de vector distancia.
Recuerde la diferencia entre protocolos enrutables y de enrutamiento.
6
CONFIGURACIÓN DEL ROUTER
OPERATIVIDAD DEL ROUTER
Un router es un ordenador construido para desempeñar funciones específicas
de capa tres, proporciona el hardware y software necesarios para encaminar
paquetes entre redes. Se trata de dispositivos importantes de interconexión
que permiten conectar subredes LAN y establecer conexiones de área amplia
entre las subredes.
Las dos tareas principales son las de conmutar los paquetes desde una
interfaz perteneciente a una red hacia otra interfaz de una red diferente y la de
enrutar, es decir, encontrar el mejor camino hacia la red destino. Además de
estas funciones los routers pueden llevar a cabo diferentes desempeños, tales
como filtrados, dominios de colisión y broadcast, direccionamiento y
traslación de direcciones IP, enlaces troncales, etc.
Además de los componentes de hardware los routers también necesitan un
sistema operativo, los routers Cisco funcionan con un sistema operativo
llamado IOS (Internetwork Operating System). Un router puede ser
exclusivamente un dispositivo LAN, o puede ser exclusivamente un
dispositivo WAN, pero también puede estar en la frontera entre una LAN y
una WAN y ser un dispositivo LAN y WAN al mismo tiempo.
Componentes principales de un router
Los componentes básicos de laarquitectura interna de un router comprenden:
CPU, unidad central de procesamiento es un microprocesador que
ejecuta las instrucciones del sistema operativo. Estas funciones
incluyen la inicialización del sistema, las funciones de enrutamiento y
el control de la interfaz de red. Los grandes routers pueden tener varias
CPU.
RAM, memoria de acceso aleatorio, se usa para la información de las
tablas de enrutamiento, el caché de conmutación rápida, la
configuración actual y las colas de paquetes. En la mayoría de los
routers, la RAM proporciona espacio de tiempo de ejecución para el
software IOS de Cisco y sus subsistemas. El contenido de la RAM se
pierde cuando se apaga la unidad. En general, la RAM es una memoria
de acceso aleatorio dinámica (DRAM) y puede ampliarse agregando
más módulos de memoria en línea doble (DIMM).
Memoria flash, se utiliza para almacenar una imagen completa del
software IOS de Cisco. Normalmente el router adquiere el IOS por
defecto de la memoria flash. Estas imágenes pueden actualizarse
cargando una nueva imagen en la memoria flash. El IOS puede estar
comprimido o no. En la mayoría de los routers, una copia ejecutable
del IOS se transfiere a la RAM durante el proceso de arranque. En
otros routers, el IOS puede ejecutarse directamente desde la memoria
flash. Agregando o reemplazando los módulos de memoria en línea
simples flash (SIMM) o las tarjetas PCMCIA se puede ampliar la
cantidad de memoria flash.
NVRAM, memoria de acceso aleatorio no volátil se utiliza para
guardar la configuración de inicio. En algunos dispositivos, la
NVRAM se implementa utilizando distintas memorias de solo lectura
programables, que se pueden borrar electrónicamente (EEPROM). En
otros dispositivos, se implementa en el mismo dispositivo de memoria
flash desde donde se cargó el código de arranque. En cualquiera de los
casos, estos dispositivos retienen sus contenidos cuando se apaga la
unidad.
Buses, la mayoría de los routers contienen un bus de sistema y un bus
de CPU. El bus de sistema se usa para la comunicación entre la CPU y
las interfaces y/o ranuras de expansión. Este bus transfiere los
paquetes hacia y desde las interfaces. La CPU usa el bus para tener
acceso a los componentes desde el almacenamiento del router. Este
bus transfiere las instrucciones y los datos hacia o desde las
direcciones de memoria especificadas.
ROM, memoria de solo lectura, se utiliza para almacenar de forma
permanente el código de diagnóstico de inicio (Monitor de ROM). Las
tareas principales de la ROM son el diagnóstico del hardware durante
el arranque del router y la carga del software IOS de Cisco desde la
memoria flash a la RAM. Algunos routers también tienen una versión
más básica del IOS que puede usarse como fuente alternativa de
arranque. Las memorias ROM no se pueden borrar. Solo pueden
actualizarse reemplazando los chips de ROM en los routers.
Fuente de alimentación, brinda la energía necesaria para operar los
componentes internos. Los routers de mayor tamaño pueden contar
con varias fuentes de alimentación o fuentes modulares. En algunos de
los routers de menor tamaño, la fuente de alimentación puede ser
externa al router.
Tipos de interfaces
Las interfaces son las conexiones físicas de los routers con el exterior. Los
tres tipos de interfaces características son:
Interfaz de red de área local (LAN).
Interfaz de red de área amplia (WAN) .
Interfaz de consola/AUX.
Estas interfaces tienen chips controladores que proporcionan la lógica
necesaria para conectar el sistema a los medios. Las interfaces LAN pueden
ser configuraciones fijas o modulares y pueden ser Ethernet o Token Ring.
Las interfaces WAN incluyen la Unidad de servicio de canal (CSU)
integrada, la RDSI y el serial. Al igual que las interfaces LAN, las interfaces
WAN también cuentan con chips controladores para las interfaces. Las
interfaces WAN pueden ser de configuraciones fijas o modulares. Los
puertos de consola/AUX y los USB son puertos que se utilizan
principalmente para la configuración inicial del router. Estos puertos no son
puertos de red. Se usan para realizar sesiones terminales desde los puertos de
comunicación del ordenador o a través de un módem.
WAN y routers
La capa física WAN describe la interfaz entre el equipo terminal de datos
(DTE) y el equipo de transmisión de datos (DCE). Normalmente el DCE es
el proveedor del servicio, mientras que el DTE es el dispositivo localmente
conectado. En este modelo, los servicios ofrecidos al DTE están disponibles a
través de un módem o CSU/DSU.
Cuando un router usa los protocolos y los estándares de la capa de enlace de
datos y física asociados con las WAN, opera como dispositivo WAN.
Los protocolos y estándares de la capa física WAN son:
EIA/TIA -232
EIA/TIA -449
V.24
V.35
X.21
G.703
EIA-530
RDSI
T1, T3, E1 y E3
xDSL
SONET (OC-3, OC-12, OC-48, OC-192)
Los protocolos y estándares de la capa de enlace de datos WAN:
Control de enlace de datos de alto nivel (HDLC)
Frame-Relay
Protocolo punto a punto (PPP)
Control de enlace de datos síncrono (SDLC)
Protocolo Internet de enlace serial (SLIP)
X.25
ATM
LAPB
LAPD
LAPF
INSTALACIÓN INICIAL
En la instalación inicial, el administrador de la red configura generalmente
los dispositivos de la red desde un terminal de consola, conectado a través del
puerto de consola. Posteriormente y una vez configurados ciertos parámetros
mínimos el router puede ser configurado desde distintas ubicaciones:
Si el administrador debe dar soporte a dispositivos remotos, una
conexión local por módem con el puerto auxiliar del dispositivo
permite a aquél configurar los dispositivos de red.
Dispositivos con direcciones IP establecidas pueden permitir
conexiones Telnet para la tarea de configuración.
Descargar un archivo de configuración de un servidor TFTP (Trivial
File Transfer Protocol).
Configurar el dispositivo por medio de un navegador HTTP (Hypertext
Transfer Protocol).
Conectándose por primera vez
Para la configuración inicial del router se utiliza el puerto de consola
conectado a un cable transpuesto o de consola y un adaptador RJ-45 a DB-9 o
adaptador USB para conectarse al puerto COM1 del ordenador o a un puerto
USB del mismo. Este debe tener instalado un software de emulación de
terminal.
Los parámetros de configuración son los siguientes:
El puerto COM adecuado.
9600 baudios.
8 bits de datos.
Sin paridad.
1 bit de parada.
Sin control de flujo.
La imagen corresponde a una captura de pantalla de un emulador de terminal
Para utilizar la opción del puerto USB para la configuración inicial, tome en
cuenta que posiblemente necesitará un driver controlador en su PC según el
sistema operativo que utilice. Para las conexiones desde su PC al puerto
USB, posiblemente también necesite un cable adaptador.
Rutinas de inicio
Cuando un router o un switch Catalyst Cisco se ponen en marcha, hay tres
operaciones fundamentales que han de llevarse a cabo en el dispositivo de
red:
1. El dispositivo localiza el hardware y lleva a cabo una serie de rutinas
de detección del mismo. Un término que se suele utilizar para describir
este conjunto inicial de rutinas el POST (Power-on Self Test), o
pruebas de inicio.
2. Una vez que el hardware se muestra en una disposición correcta de
funcionamiento, el dispositivo lleva a cabo rutinas de inicio del
sistema. El switch o el router inicia localizando y cargando el software
del sistema operativo IOS secuencialmente desde la Flash, servidor
TFTP o la ROM, según corresponda.
3. Tras cargar el sistema operativo, el dispositivo trata de localizar y
aplicar las opciones de configuración que definen los detalles
necesarios para operar en la red. Generalmente, hay una secuencia de
rutinas de arranque que proporcionan alternativas al inicio del software
cuando es necesario.
Comandos ayuda
El router proporciona la posibilidad de ayudas pues resulta difícil memorizar
todos los comandos disponibles, el signo de interrogación (?) y el tabulador
del teclado brindan la ayuda necesaria a ese efecto. El tabulador completa los
comandosque no recordamos completos o que no queremos escribir en su
totalidad.
El ? colocado inmediatamente después de un comando muestra todos los que
comienzan con esas letras, colocado después de un espacio (barra
espaciadora+?) lista todos los comandos que se pueden ejecutar en esa
posición.
La ayuda se puede ejecutar desde cualquier modo:
Router#?
Exec commands:
access-enable Create a temporary Access-List entry
access-template Create a temporary Access-List entry
bfe For manual emergency modes setting
clear Reset functions
--More--
Router(config)#?
Configure commands:
aaa Authentication, Authorization and Accounting.
alias Create command alias
appletalk Appletalk global configuration commands
arp Set a static ARP entry
--More--
Inmediatamente, o después de un espacio, según la ayuda solicitada:
Router#sh?
Show
Router#show ?
access-expression List access expression
access-lists List access lists
accounting Accounting data for active sessions
aliases Display alias commands
--More--
Router(config)#inte?
interface
Router(config)#interface ?
CTunnel CTunnel interface
FastEthernet FastEthernet IEEE 802.3
GigabitEthernet GigabitEthernet IEEE 802.3z
Loopback Loopback interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Tunnel Tunnel interface
Vif PGM Multicast Host interface
Vlan Catalyst Vlans
fcpa Fiber Channel
range interface range command
La indicación --More-- significa que existe más información disponible. La
barra espaciadora pasará de página en página, mientras que el Intro lo hará
línea por línea.
El acento circunflejo (^) indicará un fallo de escritura en un comando:
Router#configure terbinal
^
% Invalid input detected at ‘^’ marker.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Estos comandos quedan registrados en un búfer llamado historial y pueden
verse con el comando show history, por defecto la cantidad de comandos que
se guardan en memoria es de 10, pero puede ser modificado por el
administrador utilizando el history size:
Router#terminal history size ?
<0-256> Size of history buffer
Router#show history
en
conf t
show arp
ping 10.0.0.1
copy run star
show history
Comandos de edición
Las diferentes versiones de IOS ofrecen combinaciones de teclas que
permiten una configuración del dispositivo más rápida y simple. La siguiente
tabla muestra algunos de los comandos de edición más utilizados.
Tecla Efecto
Delete Elimina un carácter a la derecha del cursor.
Retroceso Elimina un carácter a la izquierda del cursor.
TAB Completa un comando parcial.
Ctrl+A Mueve el cursor al comienzo de la línea.
Ctrl+R Vuelve a mostrar una línea escrita anteriormente.
Ctrl+U Borra una línea.
Ctrl+W Borra una palabra.
Ctrl+Z Finaliza el modo de configuración y vuelve al modo EXEC.
Esc-B Desplaza el cursor hacia atrás una palabra.
Flecha arriba
Ctrl+P Repite hacia adelante los comandos anteriores.
Flecha abajo
Ctrl+N Repite hacia atrás los comandos anteriores.
Flecha dedecha
Ctrl+F Desplaza el cursor hacia la derecha sin borrar caracteres.
Flecha Izquierda
Ctrl+B Desplaza el cursor hacia la izquierda sin borrar caracteres.
CONFIGURACIÓN INICIAL
Un router o un switch pueden ser configurados desde distintas ubicaciones,
una vez configurados ciertos parámetros mínimos el router puede ser
configurado desde distintas ubicaciones:
Si el administrador debe dar soporte a dispositivos remotos, una
conexión local por módem con el puerto auxiliar del dispositivo
permite a aquél configurar los dispositivos de red (según modelo y
antigüedad)
En los equipos más modernos con una configuración básica y desde
cualquier sitio de la red el dispositivo puede cargar la configuración a
través de algún servidor de gestión centralizada.
Dispositivos con direcciones IP establecidas pueden permitir
conexiones Telnet para la tarea de configuración.
Descargar un archivo de configuración de un servidor TFTP (Trivial
File Transfer Protocol).
Configurar el dispositivo por medio de un navegador HTTP (Hypertext
Transfer Protocol).
Las rutinas de inicio del software Cisco IOS tienen por objetivo inicializar las
operaciones del router. Como se explicó anteriormente, las rutinas de puesta
en marcha deben hacer lo siguiente:
Asegurarse que el router cuenta con hardware verificado (POST).
Localizar y cargar el software Cisco IOS que usa el router para su
sistema operativo.
Localizar y aplicar las instrucciones de configuración relativas a los
atributos específicos del router, funciones del protocolo y direcciones
de interfaz.
El router se asegura de que el hardware haya sido verificado. Cuando un
router Cisco se enciende, realiza unas pruebas al inicio (POST). Durante este
autotest, el router ejecuta una serie de diagnósticos para verificar la
operatividad básica de la CPU, la memoria y la circuitería de la interfaz. Tras
verificar que el hardware ha sido probado, el router procede con la
inicialización del software.
Al iniciar por primera vez un router Cisco, no existe configuración inicial
alguna. El software del router le pedirá un conjunto mínimo de detalles a
través de un diálogo opcional llamado Setup.
El modo Setup es el modo en el que inicia un router no configurado al
arrancar, puede mostrarse en su forma básica o extendida.
Se puede salir de este modo respondiendo que NO a la pregunta inicial.
Would you like to enter the initial configuration dialog?[yes]: No
Would you like to terminate autoinstall? [yes]: INTRO
Desde la línea de comandos el router se inicia en el modo EXEC usuario, las
tareas que se pueden ejecutar en este modo son solo de verificación ya que
NO se permiten cambios de configuración. En el modo EXEC privilegiado
se realizan las tareas típicas de configuración.
Modo EXEC usuario y modo EXEC privilegiado respectivamente:
Router>
Router#
Para pasar del modo usuario al privilegiado ejecute el comando enable, para
regresar disable. Esto es posible porque no se ha configurado contraseña, de
lo contrario sería requerida cada vez que se pasara al modo privilegiado.
Router>
Router>enable
Router#disable
Router>
Modo global y de interfaz:
Router#configure terminal
Router(config)#interface tipo número
Router>enable
Router#configure terminal
Router(config)#interface ethernet 0
Router(config-if)#exit
Router(config)#exit
Router#
Para pasar del modo privilegiado al global debe introducir el comando
configure terminal, para pasar del modo global al de interfaz ejecute el
comando interface. Para regresar un modo más atrás utilice el exit o
Control+Z que lo llevará directamente al modo privilegiado.
Comandos show
Saber utilizar e interpretar los comandos show permite el rápido diagnóstico
de fallos, en modo usuario se permite la ejecución de los comandos show de
forma restringida, desde el modo privilegiado la cantidad es ampliamente
mayor.
show interfaces. Muestra las estadísticas completas de todas las
interfaces del router.
show controllers. Muestra información específica de la interfaz de
hardware.
show hosts. Muestra la lista en caché de los nombres de host y sus
direcciones.
show users. Muestra todos los usuarios conectados al router.
show sessions. Muestra las conexiones de telnet efectuadas desde el
router.
show flash. Muestra información acerca de la memoria flash
(EEPROM) y qué archivos IOS se encuentran almacenados allí.
show version. Despliega información acerca del router y de la imagen
de IOS y el valor del registro de configuración del router.
show protocols. Muestra el estado global y por interfaz de cualquier
protocolo de capa 3 que haya sido configurado.
show startup-config. Muestra el archivo de configuración almacenado
en la NVRAM.
show running-config. Muestra el contenido del archivo de
configuración activo.
show process. Muestra los procesos que se están ejecutando en la
CPU.
show clock. Muestra la hora fijada en el router.
show arp. Muestra la tabla ARP del router.
show history. Muestra un historial de los comandos introducidos.
Modo usuario Modo privilegiado
Router>show ?
arp
cdp
class-map
clockcontrollers
crypto
flash:
frame-relay
history
hosts
interfaces
ip
policy-map
privilege
protocols
queue
queueing
sessions
ssh
tcp
terminal
users
version
Router#show ?
aaa
access-lists
arp
cdp
class-map
clock
controllers
crypto
debugging
dhcp
file
flash:
frame-relay
history
hosts
interfaces
ip
logging
login
ntp
policy-map
privilege
processes
protocols
queue
queueing
running-config
sessions
snmp
ssh
startup-config
tcp
tech-support
terminal
users
version
Comparativa de los comandos show en los modos usuario y privilegiado
NOTA:
La información que aparece entre corchetes despues de una pregunta es la que el router
sugiere como válida. Bastará con aceptar con un Intro.
Asignación de nombre y contraseñas
La primera tarea recomendable de configuración es asignar un nombre único
y exclusivo en la red al router. Desde el modo de configuración global,
ejecute el comando hostname.
Router>enable
Router#configure terminal
Router(config)#hostname nombre
Router#configure terminal
Router(config)#hostname MADRID
MADRID(config)#
Los comandos enable password y enable secret se utilizan para restringir el
acceso al modo EXEC privilegiado. El comando enable password se utiliza
solo si no se ha configurado previamente enable secret.
Se recomienda habilitar siempre enable secret, ya que a diferencia de enable
password, la contraseña estará siempre cifrada utilizando el algoritmo MD5
(Message Digest 5).
Router >enable
Router#configure terminal
Router(config)#enable password contraseña
Router(config)#enable secret contraseña
En la siguiente sintaxis se copia parte de un show runnig-config donde se ha
configurado como hostname del router MADRID y como contraseña cisco en la
enable secret y la enable password. Abajo se ve cómo la contraseña secret
aparece encriptada por defecto mientras que la otra se lee perfectamente.
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname MADRID
MADRID(config)#enable password cisco
MADRID(config)#enable secret cisco
MADRID# show runnig-config
hostname MADRID
!
enable secret 5 $1$EBMD$0rTOiN4QQab7s8AFzsSof/
enable password cisco
Contraseñas de consola, auxiliar y telnet
Para configurar la contraseña para consola se debe acceder a la interfaz de
consola con el comando line console 0:
Router#configure terminal
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password contraseña
El comando exec-timeout permite configurar un tiempo de desconexión
determinado en la interfaz de consola. El comando logging synchronous
impedirá mensajes dirigidos a la consola de configuración que pueden
resultar molestos.
Para configurar la contraseña para telnet se debe acceder a la interfaz de
telnet con el comando line vty 0 4, donde line vty indica dicha interfaz, 0 el
número de la interfaz y 4 la cantidad máxima de conexiones múltiples a partir
de 0, en este caso se permiten 5 conexiones múltiples:
Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password contraseña
El comando show sessions muestra las conexiones de telnet efectuadas desde
el router, el comando show users muestra las conexiones de usuarios
remotos.
Router#show users
Line User Host(s) Idle Location
* 1 vty 0 idle 00:00:00 192.168.59.132
2 vty 1 idle 00:00:02 192.168.59.156
Interface User Mode Idle Peer Address
Router#show sessions
Conn Host Address Byte Idle Conn Name
1 10.99.59.49 10.99.59.49 0 1 10.99.59.49
* 2 10.99.55.1 10.99.55.1 0 0 10.99.55.1
Las diferentes sesiones de Telnet abiertas en un router pueden conmutarse
con la secuencia de teclas Ctrl+Shift+6 y luego x regresar con 2 veces intro.
El comando clear line desactivará una sesión de Telnet indeseada. Desde una
conexión de consola, puede ejecutarse el comando disconnet para cancelar
una conexión de un router remoto.
Para configurar la contraseña para auxiliar se debe acceder a la interfaz de
auxiliar con el comando line aux 0:
Router#configure terminal
Router(config)# line aux 0
Router(config-line)#login
Router(config-line)#password contraseña
En todos los casos el comando login suele estar configurado por defecto,
permite que el router pregunte la contraseña al intentar conectarse, con el
comando login local el router preguntará qué usuario intenta entrar y su
respectiva contraseña.
Configuración de interfaces
Las interfaces de un router forman parte de las redes que están directamente
conectadas al dispositivo. Estas interfaces activas deben llevar una dirección
IP y su correspondiente máscara, como un host perteneciente a esa red.
Las interfaces de LAN pueden ser:
Ethernet a 10 Mbps.
Fastethernet a 100 Mbps.
Gigaethernet a 1000 Mbps.
Las secuencias de comandos para la configuración básica de una interfaz de
LAN son los siguientes:
Router(config)#interface tipo número
Router(config-if)#ip address dirección IP máscara
Router(config-if)#speed [10|100|1000|auto]
Router(config-if)#duplex [auto|full|half]
Router(config-if)#no shutdown
Las interfaces suelen estar deshabilitadas por defecto por el comando
shutdown, para habilitarlas debe ejecutarse el comando no shutdown en el
modo de interfaz.
La mayoría de dispositivos llevan ranuras o slots donde se instalan los
módulos de interfaces o para ampliar la cantidad de estas. Los slots están
numerados y se configuran por delante del número de interfaz separado por
una barra.
Router(config)#interface tipo slot/int
Las interfaces permiten la configuración de subinterfaces que pueden
utilizarse como interfaces independientes pero dentro de un mismo espacio
físico.
Router(config)#interface tipo número.número de subinterfaz
Es posible configurar en la interfaz un texto a modo de comentario que solo
tendrá carácter informativo y que no afecta al funcionamiento del router.
Puede tener cierta importancia para los administradores a la hora de
solucionar problemas.
Router(config-if)#description comentario
El comando show interfaces ethernet 0 muestra en la primera línea cómo la
interfaz está UP administrativamente y UP físicamente. Recuerde que si la
interfaz no estuviera conectada o si existiesen problemas de conectividad, el
segundo UP aparecería como down.
La tercera línea muestra la descripción configurada a modo de comentario. A
continuación aparece la dirección IP, la encapsulación, paquetes enviados,
recibidos, etc.
Ethernet0 is up, line protocol is up
Hardware is Lance, address is 0000.0cfb.6c19 (bia 0000.0cfb.6c19)
Description: INTERFAZ_DE_LAN
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 183/255, load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:03, output hang never
Last clearing of “show interface” counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 input packets with dribble condition detected
188 packets output, 30385 bytes, 0 underruns
188 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
188 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Si el administrador deshabilita la interfaz se verá:
Ethernet0 is administratively down, line protocol is down
NOTA:
Si una interfaz está administrativamente down no significa que exista un problema, pues el
administrador ha decidido dejarla shutdown. Por el contrario si el line protocol is down existe
un problema, seguramente de capa física.
Las interfaces seriales se configuran siguiendo el mismo proceso que las
Ethernet, se debe tener especial cuidado para determinar quién es el DCE
(Data Communications Equipment) y quién el DTE (Data Communications
Equipment) debido a que el DCE lleva el sincronismo de la comunicación,
este se configurarásolo en la interfaz serial del DCE, el comando clock rate
activará el sincronismo en ese enlace.
Router(config)#interface tipo número
Router(config-if)#ip address dirección IP máscara
Router(config-if)#clock rate [300-4000000]
Clock rate y ancho de banda no es lo mismo: recuerde que existe un comando
bandwidth para la configuración del ancho de banda, el router solo lo
utilizará para el cálculo de costes y métricas para los protocolos de
enrutamiento, mientras que el clock rate brinda la verdadera velocidad del
enlace.
Router(config-if)#bandwidth ?
<1-10000000> Bandwidth in kilobits
MADRID(config)#interface serial 0/0
MADRID(config-if)#ip address 204.20.31.5 255.255.255.240
MADRID(config-if)#clock rate 56000
MADRID(config-if)#description interfaz de salida WEB
MADRID(config-if)#bandwidth 128000
MADRID(config-if)#no shutdown
Las interfaces loopback son interfaces virtuales que sirven, por ejemplo,
para el cálculo de métrica en los protocolos de enrutamiento o a efectos de
pruebas de conectividad.
Router(config)#interface loopback ?
<0-2147483647> Loopback interface number
CONFIGURACIÓN AVANZADA
Seguridad de acceso
La autenticación por usuario añade una función de seguridad. Hay dos
métodos para configurar nombres de usuario de cuentas locales: username
password y username secret.
Router(config)#username usuario1 password contraseña1
Router(config)#username usuario2 password contraseña2
Router(config)#username usuario secret contraseña
El comando username secret es más seguro porque utiliza el algoritmo
MD5, (Message Digest 5) para crear las claves.
Router#show running-config
!
username ernesto secret 5 $1$aI44$fJoWcpIOAzTbkCd.bKxPS1
username matias password 0 contraseña
El comando login local en las configuraciones de línea habilita la base de
datos local para autenticación.
Router(config)#line vty 0 15
Router(config-line)#login local
Router(config-line)#password contraseña
Un añadido de seguridad es el comando service password-encryption que
encripta con un cifrado leve las contraseñas que no están cifradas por defecto
como las de telnet, consola, auxiliar, etc. Una vez cifradas las contraseñas no
se podrán volver a leer en texto plano.
MADRID(config)#line vty 0 4
MADRID(config-line)#password cisco
MADRID(config-line)#login
MADRID(config-line)#^Z
MADRID#
%SYS-5-CONFIG_I: Configured from console by console
MADRID#show running-config
Building configuration...
!
hostname MADRID !
line con 0
line vty 0 4
password cisco
login
MADRID#conf t
Enter configuration commands, one per line. End with CNTL/Z.
MADRID(config)#service password-encryption
MADRID(config)#^Z
MADRID#
%SYS-5-CONFIG_I: Configured from console by console
MADRID#show running-config
!
line con 0
line vty 0 4
password 7 0822455D0A16
login
!
NOTA:
Las contraseñas sin encriptación aparecen en texto plano en el show running debiendo tener
especial cuidado ante la presencia de intrusos.
Los routers pueden ser configurados por HTTP si el comando ip http server
está habilitado en el dispositivo. Por defecto la configuración por web viene
deshabilitada y por razones de seguridad se recomienda dejarlo desactivado.
Para habilitarlo se utiliza el siguiente comando.
Router(config)#ip http Server
Mensajes o banners
Los banners son muy importantes para la red desde una perspectiva legal.
Además de advertir a intrusos potenciales, los banners también pueden ser
utilizados para informar a administradores remotos de las restricciones de
uso.
Los banners están deshabilitados por defecto y deben ser habilitados
explícitamente. Use el comando banner desde el modo de configuración
global para especificar mensajes apropiados.
Router(config)#banner ?
LINE c banner-text c, where ‘c’ is a delimiting character
exec Set EXEC process creation banner
incoming Set incoming terminal line banner
login Set login banner
motd Set Message of the Day banner
El banner motd de es de poco uso en entornos de producción y se utiliza
raramente. El banner exec, por el contrario, es útil para mostrar mensajes de
administrador, ya que se presenta solo para los usuarios autenticados.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# banner exec#
Enter TEXT message. End with the character ‘#’.
+--------------------------------------------------------------+
| ADVERTENCIA |
| ------- |
| Este sistema es para el uso exclusivo de los usuarios |
| autorizados para fines oficiales. Usted no tiene ninguna |
| autorización de su uso y para asegurarse de que el sistema |
| funciona correctamente, las personas que administran esta |
| red monitorizan toda la actividad. La utilización de este |
| dispositivo sin consentimiento expreso revela evidencias de |
| un posible abuso o actividad criminal denunciable a las |
| autoridades competentes según las leyes vigentes. |
+--------------------------------------------------------------+
#
Configuración de SSH
SSH (Secure Shell) ha reemplazado a telnet como práctica recomendada para
proveer administración remota con conexiones que soportan confidencialidad
e integridad de la sesión. Provee una funcionalidad similar a una conexión
telnet de salida, con la excepción de que la conexión está cifrada y opera en el
puerto 22.
1. Configure la línea vty para que utilice nombres de usuarios locales con
el comando login local.
2. Asegúrese de que haya una entrada de nombre de usuario válida en la
base de datos local. Si no la hay, cree una usando el comando
username nombre secret contraseña.
3. Deben generarse las claves secretas de una sola vía para que el switch
cifre el tráfico SSH. Estas claves se denominan claves asimétricas
RSA (Rivest, Shamir, y Adleman). Primero configure el nombre de
dominio DNS de la red usando el comando ip domain-name en el
modo de configuración global. Luego para crear la clave RSA, use el
comando crypto key generate rsa en el modo de configuración
global.
4. En muchas versiones actuales de IOS la configuración se las sesiones
SSH vienen configuradas por defecto, sin embargo si fuera necesario
habilite las sesiones SSH vty de entrada con el comando de línea vty
transport input ssh. Para prevenir sesiones de telnet configure el
comando no transport input telnet para todas las líneas vty.
5. De manera opcional puede configurarse la versión 2 de SSH con el
comando de configuración global ip ssh version 2.
Router#
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname CCNA
CCNA(config)#line vty 0 15
CCNA(config-line)#login local
CCNA(config-line)#transport input telnet ssh
CCNA(config-line)#exit
CCNA(config)#username ernesto secret cisco
CCNA(config)#ip domain-name aprenderedes.com
CCNA(config)#crypto key generate rsa
The name for the keys will be: ernesto.aprenderedes.com
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose
Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
00:03:58: %SSH-5-ENABLED: SSH 1.99 has been enabled
Puede verificar el estado y las conexiones SSH con los comandos show
ip ssh y show ssh.
CCNA#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
CCNA#show ssh
Connection Version Mode Encryption State Username
0 2.0 IN DES Session started ernesto
Será posible conectarse usando un cliente SSH público y disponible
comercialmente ejecutándose en un host. Algunos ejemplos de estos
clientes son PuTTY, OpenSSH, y TeraTerm.
RECUERDE:
El comando username secret cifra la contraseña del usuario por defecto mientras que
el comando username password muestra contraseña en texto plano. Ambos
comandos tienen el mismo efecto en el dispositivo y permiten establecer niveles de
cifrado.
NOTA:
Asegúrese de que los dispositivos destino estén ejecutando una imagen IOS que
soporte SSH. Muchas versiones básicas o antiguas no lo soportan.
Resolución de nombre de host
El DNS (Domain Name System) es una base de datos distribuidaen la
que se pueden asignar nombres de host a direcciones IPv4 e IPv6 a
través del protocolo DNS desde un servidor DNS. Cada dirección IP
única puede tener un nombre de host asociado. Seguramente resultará
más familiar identificar un dispositivo, un host o un servidor con un
nombre que lo asocie a sus funciones o a otros criterios de desempeño.
Por lo general, es más fácil referirse a los dispositivos de red mediante
nombres en lugar de direcciones numéricas (servicios tales como Telnet
pueden utilizar nombres de host o direcciones). Los nombres de host y
direcciones IP se pueden asociar entre sí a través de medios estáticos o
dinámicos.
Los routers Cisco permiten mapear estáticamente nombres de host con
direcciones IPv4 o IPv6 acelerando el proceso de conversión de
nombres a direcciones. Esto se hace creando una tabla de host, que
asociará un nombre a una o varias direcciones IP. La asignación manual
de nombres de host a direcciones es útil cuando el mapeo dinámico no
está disponible.
Router(config)#ip host nombre [1ºdirección IP][2ºdirección IP]...
Opcionalmente se puede especificar un nombre de dominio
predeterminado que el software IOS utilizará para completar las
solicitudes de nombres de dominio. Puede especificar un nombre de
dominio o una lista de nombres de dominio.
Cualquier nombre de host que no contenga un nombre de dominio
completo tendrá el nombre de dominio predeterminado que se añade a
éste antes del propio nombre de host.
Router(config)# ip domain name nombre
Router(config)# ip domain list nombre
Especifica uno o más hosts (hasta seis) que pueden funcionar como un
servidor de nombres para suministrar información de nombre de DNS.
Router(config)# ip name-server [1ºdirección IP][2ºdirección IP]...
DNS está activado por defecto. Si estuviese desactivado el siguiente
comando habilita la traducción de direcciones basado en DNS.
Router(config)# ip domain lookup [source-interface interface-type interface-number]
Una vez creada la tabla de host puede verse con el comando show host.
CCNA#show host
Default Domain is not set
Name/address lookup uses domain service
Name servers are 255.255.255.255
Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
temp - temporary, perm - permanent
NA - Not Applicable None - Not defined
Host Port Flags Age Type Address(es)
Impresora None (perm, OK) 0 IP 192.168.5.6
Router_Internet None (perm, OK) 0 IP 192.168.45.8
Servidor_Web None (perm, OK) 0 IP 192.168.1.33
Catalyst None (perm, OK) 0 IP 10.1.55.3
10.1.2.3
El siguiente es un ejemplo de salida del debug domain que corresponde
a una consulta DNS de la tabla de host local cuando el dispositivo está
configurado como servidor.
Apr 4 22:16:35.279: DNS: Incoming UDP query (id#8409)
Apr 4 22:16:35.279: DNS: Type 1 DNS query (id#8409) for host ‘ns1.example.com’ from
192.0.2.120(1279)
Apr 4 22:16:35.279: DNS: Finished processing query (id#8409) in 0.000 secs
A partir de la creación de la tabla de host pueden ejecutarse comandos
reemplazando las direcciones IP de los hosts contenidos en la tabla por
el nombre del mismo.
CCNA#ping Impresora
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/12/16 ms
Guardar la configuración
Las configuraciones actuales son almacenadas en la memoria RAM, este
tipo de memoria pierde el contenido al apagarse el router. Para que esto
no ocurra es necesario poder hacer una copia a la NVRAM. El comando
copy se utiliza con esta finalidad, identificando un origen con datos a
guardar y un destino donde se almacenarán esos datos. Se puede guardar
la configuración de la RAM a la NVRAM, de la RAM a un servidor
TFTP, etc.
Copia de la RAM a la NVRAM:
Router#copy running-config startup-config
Copia de la NVRAM a la RAM:
Router#copy startup-config running-config
Router#copy ?
flash: Copy from flash: file system
ftp: Copy from ftp: file system
running-config Copy from current system configuration
startup-config Copy from startup configuration
tftp: Copy from tftp: file system
Router#copy running-config ?
flash: Copy to flash file
ftp: Copy to current system configuration
startup-config Copy to startup configuration
tftp: Copy to current system configuration
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Para la copia a un servidor TFTP se debe tener como mínimo una
conexión de red activa hacia el servidor (verifique la conexión a través
de un ping); se solicitará el nombre de archivo con el que se guardará la
configuración y la dirección IP del servidor.
CCNA#ping 192.168.1.25
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.25, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
CCNA#copy running-config tftp
Address or name of remote host []? 192.168.1.25
Destination filename [CCNA-confg]?
Writing running-config....!!!!!!!!!!!!!!!!
[OK - 1080 bytes]
1080 bytes copied in 3.074 secs (0 bytes/sec)
RECUERDE:
El comando copy identifica un origen y un destino para los datos a guardar. El
resultado de la copia sobrescribe los datos existentes, por lo tanto se debe tener
especial atención asegurándose de que los datos que se copiarán son los correctos y
que no se eliminarán datos sensibles.
Los siguientes comandos muestran el contenido de la RAM y de la
NVRAM respectivamente.
Router#show running-config
Router#show startup-config
A continuación se copia parte de un show startup-config, se observa
entre otras cosas en la primera línea la cantidad de memoria y la que se
está utilizando, luego la versión del software IOS:
CCNA#show startup-config
Building configuration...
Using 886 out of 131066 bytes
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname MADRID
!
enable secret 5 $1$EBMD$0rTOiN4QQab7s8AFzsSof/
enable password cisco
!
ip host SERVIDOR_WEB 204.200.1.2
ip host ROUTER_A 220.220.10.32
ip host HOST_ADMIN 210.210.2.22
!
interface Ethernet0
description INTERFAZ_DE_LAN
ip address 192.168.1.1 255.255.255.0
shutdown
!
interface Ethernet1
no ip address
--More—
NOTA:
La memoria RAM es la running-config, su contenido se pierde al apagar y no existe
comando para borrado. La memoria NVRAM es la startup-config, no pierde su
contenido al apagar.
Borrado de las memorias
Los datos de configuración almacenados en la memoria no volátil no son
afectados por la falta de alimentación, el contenido permanecerá en la
NVRAM hasta tanto se ejecute el comando erase para su eliminación:
Router#erase startup-config
Router#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
Por el contrario no existe comando para borrar el contenido de la RAM.
Si el administrador pretende dejar sin ningún dato de configuración debe
reiniciar o apagar el router. La RAM se borra únicamente ante la falta de
alimentación eléctrica:
Router#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]
Para borrar completamente la configuración responda NO a la pregunta
si quiere salvar.
NOTA:
Tenga especial cuidado al borrar las memorias, asegúrese de eliminar lo que desea
antes de confirmar el borrado.
Copia de seguridad del Cisco IOS
Cuando sea necesario restaurar o actualizar el IOS se debe hacer desde
un servidor TFTP. Es importante que se guarden copias de seguridad de
todas las IOS en un servidor central.
El comando para esta tarea es el copy flash tftp, verifique el nombre del
archivo a guardar mediante el comando show flash:
Router#show flash
System flash directory:
File Length Name/status
3 33591768 c2900-universalk9-mz.SPA.151-4.M4.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[33847587 bytes used, 221896413 available, 255744000 total]
249856K bytes of processor board System flash (Read/Write)
Router#copy flash tftp
Source filename []? c2900-universalk9-mz.SPA.151-4.M4.bin
Address or nameof remote host []? 192.168.1.25
Destination filename [c2900-universalk9-mz.SPA.151-4.M4.bin]?
Writingc2900-universalk9-mz.SPA.151-
4.M4.bin....!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 33591768 bytes]
33591768 bytes copied in 3.564 secs (9425000 bytes/sec)
En el proceso inverso al anterior puede utilizarse para IOS corruptas que
necesiten ser restablecidas o para actualizar la versión el IOS. Es
importante verificar si existe espacio suficiente en la memoria flash
antes de iniciar el proceso de copiado con el comando show flash. El
comando copy tftp flash inicia la copia desde el servidor TFTP. El
dispositivo pedirá confirmación del borrado antes de copiar en la
memoria.
Router#show flash
System flash directory:
File Length Name/status
3 33591768 c2900-universalk9-mz.SPA.151-4.M4.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[33847587 bytes used, 221896413 available, 255744000 total]
249856K bytes of processor board System flash (Read/Write)
Router#copy tftp flash
Address or name of remote host []? 192.168.1.25
Source filename []? c2900-universalk9-mz.SPA.151-4.M4.bin
Destination filename [c2900-universalk9-mz.SPA.151-4.M4.bin]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device...
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
...erased
Erase of flash: complete
Accessing tftp://192.168.1.25/c2900-universalk9-mz.SPA.151-4.M4.bin...
Loading c2900-universalk9-mz.SPA.151-4.M4.bin from 192.168.1.25:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 33591768 bytes]
33591768 bytes copied in 0.569 secs (6198588 bytes/sec)
Preferencia de carga del Cisco IOS
Los comandos boot system especifican el nombre y la ubicación de la
imagen IOS que se debe cargar.
Indica al router que debe arrancar utilizando la IOS que está
ubicada en la memoria flash.
Router(config)#boot system flash nombre_archivo
Indica al router que debe buscar la IOS en la memoria ROM.
Router(config)#boot system rom
Indica al router que al arrancar cargue la imagen IOS de un
servidor TFTP.
Router(config)#boot system tftp nombre_archivo
IP_servidor
NOTA:
Si no existen comandos boot system en la configuración, el router carga por omisión el primer
archivo encontrado en la memoria flash y lo ejecuta.
Registro de configuración
Cuando un router arranca, se comprueba el registro de configuración virtual
para determinar (entre otras cosas) el modo en que debe entrar tras el
arranque, dónde conseguir la imagen del software y cómo gestionar el
archivo de configuración de la NVRAM.
Este registro de 16 bits controla funciones como la velocidad en baudios del
puerto de la consola, la operación de carga del software, la habilitación o
deshabilitación de la tecla de interrupción durante las operaciones normales,
la dirección de multidifusión predeterminada, así como establecer una fuente
para arrancar el router.
El comando show version muestra la información de hardware y de IOS de
un router o switch, sobre las últimas líneas se observa el valor del registro de
configuración.
El valor del registro para una secuencia de arranque normal debe ser 0x2102
(el 0x indica un valor hexadecimal).
Router#show version
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version
15.0(1)M1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 15:23 by prod_rel_team
ROM: System Bootstrap, Version 15.0(1r)M1, RELEASE SOFTWARE (fc1)
c2921-CCP-1-xfr uptime is 2 weeks, 22 hours, 15 minutes
System returned to ROM by reload at 06:06:52 PCTime Mon Apr 2 1900
System restarted at 06:08:03 PCTime Mon Apr 2 1900
System image file is “flash:c2900-universalk9-mz.SPA.150-1.M1.bin”
Last reload reason: Reload Command
................................................................
If you require further assistance please contact us by sending email
to export@cisco.com.
Cisco CISCO2921/K9 (revision 1.0) with 475136K/49152K bytes of
memory.
Processor board ID FHH1230P04Y
1 DSL controller
3 Gigabit Ethernet interfaces
9 terminal lines
1 Virtual Private Network (VPN) Module
1 Cable Modem interface
1 cisco Integrated Service Engine-2(s)
Cisco Foundation 2.2.1 in slot 1
DRAM configuration is 64 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
248472K bytes of ATA System CompactFlash 0 (Read/Write)
62720K bytes of ATA CompactFlash 1 (Read/Write)
Technology Package License Information for Module:’c2900’
----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
-----------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security securityk9 Permanent securityk9
uc uck9 Permanent uck9
data datak9 Permanent datak9
Configuration register is 0x2102
Para cambiar el campo de arranque del registro de configuración, se hace
desde el modo de configuración global, una vez ejecutado el comando se
deberá reiniciar el router para que el cambio tenga efecto:
Router#configure terminal
Router(config)#config-register 0x2142
El valor del registro de configuración se ha cambiado a 0x2142, observe el
siguiente show, el registro solo funcionará al reiniciar el router. Tenga en
cuenta que el router preguntará si se desea guardar los cambios a lo que se
deberá responder Yes con el fin de que quede almacenada dicha
modificación.
Router#show version
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.0(1)M1,
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 15:23 by prod_rel_team
ROM: System Bootstrap, Version 15.0(1r)M1, RELEASE SOFTWARE (fc1)
.............................................................
DRAM configuration is 64 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
248472K bytes of ATA System CompactFlash 0 (Read/Write)
62720K bytes of ATA CompactFlash 1 (Read/Write)
Configuration register is 0x2142 (will be 0x2102 at next reload)
Router#reload
System configuration has been modified. Save? [yes/no]: yes
Building configuration...
[OK]
Proceed with reload? [confirm]
Existen gran cantidad de opciones de valores de registros de configuración,
los más importantes a tener en cuenta son los siguientes:
Para entrar al modo de monitor de la ROM, configure como el valor
del registro de configuración 0xnnn0. Arranque el sistema operativo
manualmente. Para ello ejecute el comando b al estar en pantalla el
indicador del modo monitor de la ROM.
Para arrancar usando la primera imagen en memoria Flash, o para
arrancar usando el IOS en memoria ROM (dependiendo de la
plataforma), fije el registro de configuración en 0xnnn1.
Para configurar el sistema de modo que arranque automáticamente
desde la NVRAM, fije el registro de configuración en cualquier valor
entre 0xnnn2 y 0xnnnF. El uso de los comandos boot system
almacenados en la NVRAM es el esquema por defecto.
CONFIGURACIÓN DE IPV6
Dual-Stack
Una forma de implementar IPv6 en una empresa basada en IPv4 es la
funcionalidad dual-stack. De esta forma los routers pueden serconfigurados
para enrutar paquetes de IPv6 e IPv4 al mismo tiempo independientemente
del tipo de direccionamiento que implementen los host.
La funcionalidad dual-stack admite la configuración de IPv6 e IPv4 en una
interfaz. No es necesario introducir comandos especiales para ello, basta con
introducir los comandos de configuración de IPv4 y de IPv6 como lo que se
hace normalmente. Será necesaria de manera independiente la configuración
de una ruta predeterminada para IPv4 e IPv6.
Configuración estática unicast
Los routers Cisco permiten implementar dos tipos de configuraciones
estáticas IPv6.
Configuración completa de 128 bits
Configuración EUI-64
La configuración estática de la dirección completa es simple. La dirección
puede estar abreviada o completa con sus 32 dígitos hexadecimales.
Router(config)#interface tipo número
Router(config-if)#ipv6 address IPv6/prefijo
Para que los routers puedan enviar paquetes IPv6 deben tener habilitado el
enrutamiento IPv6.
Router(config)#ipv6 unicast-routing
Para verificar las configuraciones de las interfaces pueden utilizarse los
siguientes comandos:
show ipv6 interface
show ipv6 interface brief
Router#show ipv6 interface fastEthernet 0/0
FastEthernet0/0 is up, line protocol is down
IPv6 is enabled, link-local address is FE80::20A:F3FF:FE58:5101 [TEN]
No Virtual link-local address(es):
Global unicast address(es):
2001:DB8:1111:1::1, subnet is 2001:DB8:1111:1::/64 [TEN]
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:1
FF02::1:FF58:5101
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
Router#show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::20A:F3FF:FE58:5101
2001:DB8:1111:1::1
FastEthernet0/1 [administratively down/down]
Vlan1 [administratively down/down]
La configuración conocida como EUI-64 (Extended Unique Identifier) añade
una palabra clave para que el router utilice las reglas EUI-64 junto con el
prefijo de 64 bits. Cuando el router crea el identificador de interface
utilizando las reglas EUI-64 sigue el siguiente proceso:
Divide la dirección MAC en dos partes iguales, de 6 dígitos
hexadecimales.
Inserta entre las dos mitades FFFE, sumando un total de 16 6 dígitos
hexadecimales.
Invierte el séptimo bit del identificador de la interface.
Router(config)#interface tipo número
Router(config-if)#ipv6 address IPv6/prefijo eui-64
Al utilizar EUI-64, el valor de la dirección en el comando ipv6 address debe
ser el del prefijo, y no la dirección completa de 128 bits. Sin embargo, si por
error se escribe la dirección de completa, y utiliza el parámetro eui-64, se
acepta el comando convirtiendo la dirección al prefijo.
Configuración dinámica unicast
Las interfaces de los routers Cisco soportan dos formas de configuración
dinámica:
Stateful DHCP
SLAAC (Stateless Address Autoconfiguration)
Estos comandos habilitan un mecanismo que le indica al router que método
utilizar para aprender sus IPv6. Cualquiera de los dos métodos se configura
con el comando ipv6 address.
Router(config)# interface tipo número
Router(config-if)# ipv6 address dhcp
Router(config)# interface tipo número
Router(config-if)#ipv6 address autoconfig
El mecanismo de asignación de direcciones de DHCP es básicamente similar
en las dos versiones de IPv4 e IPv6. El funcionamiento preciso de DHCPv4
se detalla más adelante.
NOTA:
Para versiones anteriores de IOS el comando para la configuración del cliente DHCPv6 en
una interfaz es ipv6 dhcp client pd.
Configuración Link-Local
Cisco IOS crea automáticamente la dirección Link-local a partir de la
configuración de la dirección IPv6 configurada en la interfaz. Si por ejemplo
se ha configurado la interfaz con el parámetro EUI-64 el router calcula la
porción perteneciente al identificador de la interfaz y le añade el prefijo
FE80::/10.
Router(config)#interface fastEthernet 0/0
Router(config-if)#ipv6 address 2001:0:1AB:5::/64 eui-64
Router(config-if)#no shutdown
Router#show ipv6 interface fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20A:F3FF:FE58:5101
No Virtual link-local address(es):
Global unicast address(es):
2001:0:1AB:5:20A:F3FF:FE58:5101, subnet is 2001:0:1AB:5::/64 [EUI]
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF58:5101
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
RECUPERACIÓN DE CONTRASEÑAS
La recuperación de contraseñas le permite alcanzar el control administrativo
de su dispositivo si ha perdido u olvidado su contraseña. Para lograr esto
necesita conseguir acceso físico al router, ingresar sin la contraseña, restaurar
la configuración y restablecer la contraseña con un valor conocido.
1. Conecte un terminal o PC con software de emulación de terminal
al puerto de consola del router. Acceda físicamente y apague el
router.
2. Retire la memoria flash del slot y encienda el router. Para otros
tipos de routers pulse la tecla de interrupción del terminal durante
los primeros sesenta segundos del encendido del router.
Normalmente la combinación de teclas control+pausa dará la
señal de interrupción en el router. Aparecerá el símbolo
rommon>. Si no aparece, el terminal no está enviando la señal de
interrupción correcta. En este caso, compruebe la configuración
del terminal o del emulador de terminal.
3. Introduzca el comando confreg 0x2142 en el símbolo rommon>
para arrancar desde la memoria flash e ignorar la NVRAM.
4. En el símbolo rommon> introduzca el comando reset para
reiniciar el router. Esto hace que el router se reinicie pero ignore
la configuración grabada en la NVRAM.
5. Siga los pasos de arranque normales. Aparecerá el símbolo
router>.
6. La memoria RAM estará vacía, copie el contenido de la NVRAN
a la RAM. De esta manera recuperará la configuración y también
la contraseña no deseada. El nombre de router volverá a ser el
original.
Router#copy startup-config running-config
MADRID#
7. Cambie la contraseña no deseada por la conocida:
MADRID#configure terminal
MADRID (config)#enable secret contraseña nueva
8. Guarde su nueva contraseña en la NVRAM, y si fuera necesario
levante administrativamente las interfaces con el comando no
shutdown:
MADRID#copy running-config startup-config
9. Introduzca desde el modo global el comando config-register
0x2102.
10. Introduzca el comando reload en el símbolo del nivel EXEC
privilegiado. Responda Yes a la pregunta para guardar el registro
de configuración y confirme el reinicio:
MADRID#reload
System configuration has been modified. Save? [yes/no]: yes
Building configuration...
[OK]
Proceed with reload? [confirm]
ATENCIÓN:
Si por error ejecuta el comando inverso, es decir de la RAM a
la NVRAM borrara todo el contenido de la startup-config dejando el
dispositivo sin ningún tipo de configuración.
Protección adicional de archivos y contraseñas
Si un intruso ganara acceso físico al router, podría tomar control del
dispositivo a través del procedimiento de recuperación de contraseña. Si la
configuración o la imagen del IOS se borran, el operador quizás nunca
recupere una copia archivada para restaurar el router.
El comando no service password-recovery desactiva todos los accesos a la
ROMMON, es un comando oculto de IOS y no tiene argumentos o palabras
clave. Si se configura un router con este comando, se desactivan todos los
accesos rommon impidiendo la recuperación de contraseñas por la vía
tradicional.
Router(config)#no service password-recovery
Durante, la secuencia de inicio aparecerá el siguiente mensaje:
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
Para recuperar un router luego de que se ingresa el comando no servicepassword-recovery, se debe efectuar la secuencia interrupción dentro de los
cinco segundos luego de que la imagen se descomprima durante el arranque y
seguir las indicaciones del dispositivo.
The password-recovery mechanism has been triggered, but
is currently disabled. Access to the boot loader prompt
through the password-recovery mechanism is disallowed at
this point. However, if you agree to let the system be
reset back to the default system configuration, access
to the boot loader prompt can still be allowed.
Would you like to reset the system back to the default configuration (y/n)?
Finalmente y luego de reiniciado el router puede deshabilitarse la seguridad
ROMMON ejecutando el comando service password-recovery.
La función de Resilient Configuration del IOS de Cisco permite una
recuperación más rápida si alguien reformatea la memoria flash o borra el
archivo de configuración de inicio en la NVRAM. La copia segura de la
configuración de inicio se almacena en la memoria flash junto con la imagen
segura del IOS.
Hay dos comandos de configuración global disponibles para configurar las
funciones de Resilient Configuration del IOS de Cisco:
secure boot-image: habilita Resilient Configuration de la imagen del
IOS. Cuando se configura por primera vez, se asegura la imagen
actual, al mismo tiempo que se crea una entrada en el registro. Esta
función puede ser deshabilitada solo por medio de una sesión de
consola anteponiendo un no antes del comando.
Router(config)# secure boot-image
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running
image
secure boot-config: permite registrar la configuración actual del router
y archivarla de manera segura en el dispositivo de almacenamiento
permanente. Se mostrará un mensaje del registro en la consola
notificando al usuario que la función de adaptabilidad de la
configuración ha sido activada. El archivo de configuración está oculto
y no puede ser visto o eliminado directamente desde la CLI.
Router(config)# secure boot-config
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config
archive [flash:.runcfg-19930301-000255.ar]
Desde la CLI, el nombre de los archivos puede verse en la salida del
comando show secure bootset. Restaure la configuración segura al nombre
de archivo proporcionado usando el comando secure boot-config restore
con el nombre de archivo correspondiente.
PROTOCOLOS DE DESCUBRIMIENTO
CDP
El protocolo CDP (Cisco Discovery Protocol) se utiliza para obtener
información de router y switches que están conectados localmente. El CDP es
un protocolo propietario de Cisco, destinado al descubrimiento de vecinos y
es independiente de los medios y del protocolo de enrutamiento. Aunque el
CDP solamente mostrará información sobre los vecinos conectados de forma
directa, constituye una herramienta de gran utilidad.
El Protocolo de descubrimiento de Cisco (CDP) es un protocolo de capa 2
que conecta los medios físicos inferiores con los protocolos de red de las
capas superiores. CDP viene habilitado por defecto en los dispositivos Cisco,
los dispositivos de otras marcas serán transparentes para el protocolo. CDP
envía actualizaciones por defecto cada 60 segundos y un tiempo de espera
antes de dar por caído al vecino (holdtime) de 180 segundos.
Configuración
Como se explicó anteriormente CDP viene habilitado por defecto, sin
embargo si fuera necesario configurarlo se ejecuta desde el modo global:
Router(config)#cdp run
Hay dos formas de deshabilitar CDP, una es en una interfaz específica para
que no funcione particularmente con las conexiones locales y la otra de forma
general para que no funcione completamente en ninguna interfaz. Las sintaxis
muestran los respectivos comandos desde una interfaz y de modo total.
Router#configure terminal
Router(config)# tipo y número de interfaz
Router(config-if)#no cdp enable
Router(config)#no cdp run
El ajuste de los temporizadores se realiza con los siguientes comandos.
Router(config)#cdp timer segundos
Router(config)#cdp holdtime segundos
La lectura del comando show cdp neighbors detail es identica al show cdp
entry * e incluye la siguiente información bien detallada:
Dirección IP del router vecino.
Información del protocolo.
Plataforma.
Capacidad.
ID del puerto.
Tiempo de espera.
La ID del dispositivo vecino.
La interfaz local.
Los siguientes datos se agregan en el CDPv2:
Administración de nombres de dominio VTP.
VLAN nativas.
Full o half-duplex.
Verificación
show cdp neighbors. Para obtener los nombres y tipos de plataforma
de routers vecinos, nombres y versión de IOS.
show cdp neighbors detail. Para obtener datos de routers vecinos con
más detalle.
show cdp traffic. Para saber el tráfico de CDP en el router.
show cdp interface. Muestra el estado de todos las interfaces que
tienen activado CDP.
clear cdp counters. Restaura los contadores a cero.
clear cdp table. Borra la información contenida en la tabla de vecinos.
Los siguientes comandos pueden utilizarse para mostrar la versión, la
información de actualización, las tablas y el tráfico:
show cdp traffic
show debugging
debug cdp adjacency
debug cdp events
debug cdp ip
debug cdp packets
cdp timer
cdp holdtime
show cdp
Ejemplo de show cdp neighbors:
Router#sh cdp neighbors
Capability Codes: R-Router, T-Trans Bridge, B-Source Route Bridge
S-Switch, H-Host, I-IGMP, r- Repeater, P-Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
Switch Gig 0/1 155 3560 Fas 0/1
Router Gig 0/0 135 R C2900 Gig 0/0
Router Gig 0/2 165 R C1841 Fas 0/0
Phone Gig 9/26 166 H P M IP Phone Port 1
R_2901#show cdp neig detail
Device ID: R_2901
Entry address(es):
IP address : 192.168.1.2
Platform: cisco C2900, Capabilities: Router
Interface: GigabitEthernet0/0, Port ID (outgoing port): GigabitEthernet0/0
Holdtime: 168
Version :
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.1(4)M4,
RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thurs 5-Jan-12 15:41 by pt_team
advertisement version: 2
Duplex: full
-------------------------
Device ID: AP99INSINTRV
Entry address(es):
IP address: 10.99.165.30
IPv6 address: FE80::32F7:DFF:FE5C:A791 (link-local)
Platform: cisco AIR-LAP1142N-E-K9, Capabilities: Trans-Bridge Source-Route-Bridge IGMP
Interface: GigabitEthernet2/3, Port ID (outgoing port): GigabitEthernet0
Holdtime : 174 sec
Version :
Cisco IOS Software, C1140 Software (C1140-K9W8-M), Version
15.3(3)JA5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Thu 15-Oct-15 09:05 by prod_rel_team
advertisement version: 2
Duplex: full
Power drawn: 15.400 Watts
Power request id: 51424, Power management id: 2
Power request levels are:15400 14500 0 0 0
Management address(es):
IP address: 10.9.65.30
LLDP
El protocolo LLDP (Link Layer Discovery Protocol) es similar a CDP pero
se basa en el estándar IEEE 802.1ab. Como resultado LLDP funciona en
redes de múltiples proveedores.
La información de los vecinos se anuncia mediante la agrupación de atributos
en estructuras TLV (Type-Length-Value). Por ejemplo, un dispositivo puede
anunciar su nombre de sistema con un TLV, su dirección de gestión en otro
TLV, la descripción del puerto con otro TLV, sus requerimientos de energía
en otro TLV, y así sucesivamente. Los anuncios LLDP de convierten en una
cadena de varios TLV que pueden ser interpretados por el dispositivo
receptor.
LLDP es compatible con los dispositivos que utilizan TLV adicionales tales
como los teléfonos de VoIP, los LLDP-MED (Media Endpoint Device)
proveen información más exacta acerca de las políticas de red, como número
de VLAN, calidad de servicio necesaria para el tráfico de voz, administración
de energía, la gestión de inventarios y datos de localización física.
LLDP soporta por defecto LLDP MED TLVs, pero no puede enviar
simultáneamente la TLV básica y TLV-MED por un puerto del switch. LLDP
envía solo los TLV básicos a los dispositivos conectados. Si un switchrecibe
un TLV-MED iniciara el envío de TLV-MED hacia el switch que inicio el
envío.
Por defecto el tiempo de actualización de los paquetes LLDP es de 30
segundos, el holdtime es de 120 segundos.
Configuración
Por defecto, LLDP está deshabilitado globalmente en un switch Catalyst.
Para habilitarlo o deshabilitarlo utilice los siguientes comandos globales de
configuración:
Switch(config)# lldp run
Switch(config)# end
Switch(config)# no lldp run
Switch(config)# end
Una vez LLDP está habilitado, los anuncios se envían y reciben en cada
interfaz del switch. Es posible controlar el funcionamiento LLDP en una
interfaz determinada con el siguiente comando:
Switch(config-if)# [ no ] lldp { receive | transmit }
Verificación
Para ver si se está ejecutando o no, utilice el comando show lldp.
Switch(config)# show lldp neighbors [ type member/module/number ][ detail ]
Para obtener un resumen de los vecinos que han sido descubiertos:
Switch1# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
Switch2 Gi1/0/24 113 B Gi2/0/24
APb838 Gi1/0/23 91 B,R Gi0
SEP2893FEA2E7F4 Gi1/0/22 180 B,T 2893FEA2E7F4:P1
Total entries displayed: 2
Para especificar un vecino descubierto por una interfaz determinada:
Switch1# show lldp neighbors gig1/0/22 detail
------------------------------------------------
Chassis id: 10.120.48.177
Port id: 2893FEA2E7F4:P1
Port Description: SW PORT
System Name: SEP2893FEA2E7F4.voice.uky.edu
System Description:
Cisco IP Phone 7942G,V6, SCCP42.9-3-1-1S
Time remaining: 124 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses:
IP: 10.120.48.177
Auto Negotiation - supported, enabled
Physical media capabilities:
1000baseT(HD)
1000baseX(FD)
Symm, Asym Pause(FD)
Symm Pause(FD)
Media Attachment Unit type: 16
Vlan ID: - not advertised
MED Information:
MED Codes:
(NP) Network Policy, (LI) Location Identification
(PS) Power Source Entity, (PD) Power Device
(IN) Inventory
H/W revision: 6
F/W revision: tnp42.8-3-1-21a.bin
S/W revision: SCCP42.9-3-1-1S
Serial number: FCH1414A0BA
Manufacturer: Cisco Systems, Inc.
Model: CP-7942G
Capabilities: NP, PD, IN
Device type: Endpoint Class III
Network Policy(Voice): VLAN 837, tagged, Layer-2 priority: 5, DSCP: 46
Network Policy(Voice Signal): VLAN 837, tagged, Layer-2 priority: 4, DSCP: 32
PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 6.3
Location - not advertised
Total entries displayed: 1
RECUERDE:
Ejecutar un proceso debug desmedido puede saturar al router o al switch hasta hacerlo
inoperable. Termine el proceso debug con el comando no debug all o undebug all.
NOTA:
Los switches que utilizan LLDP pueden recoger información detallada de los dispositivos a
medida que se unen o dejan la red o cambian de ubicación, exportando la información a
través de Cisco MSE (Management Services Engine).
DHCP
DHCP (Dynamic Host Control Protocol) desciende del antiguo protocolo
BootP, permite a un servidor asignar automáticamente a un host direcciones
IP y otros parámetros cuando está iniciándose. DHCP ofrece dos principales
ventajas:
DHCP permite que la administración de la red sea más fácil y versátil,
evitando asignar manualmente el direccionamiento a todos los hosts,
tarea bastante tediosa y que generalmente conlleva errores.
DHCP asigna direcciones IP de manera temporal creando un mayor
aprovechamiento del espacio en el direccionamiento.
El proceso DHCP sigue los siguientes pasos:
1. El cliente envía un broadcast preguntando por configuración IP a los
servidores, DHCP discover.
2. Cada servidor en la red responderá con un Offer.
3. El cliente considera todas las ofertas y elije una. A partir de este
momento el cliente envía un mensaje llamado Request.
4. El servidor responde con un ACK informando a su vez que toma
conocimiento que el cliente se queda con esa dirección IP.
5. Finalmente, el cliente envía un ARP request para esa nueva dirección
IP. Si alguien responde, el cliente sabrá que esa dirección está en uso y
que ha sido asignada a otro cliente lo que iniciará el proceso DHCP
nuevamente. Este paso se llama Gratuitous ARP.
Cuando se detecta un host con una dirección IP 169.254.X.X significa que no
ha podido contactar con el servidor DHCP.
Configuración del servidor DHCP
Los siguientes pasos describen la configuración de un router ejecutando IOS
como servidor DHCP:
1. Crear un almacén (pool) de direcciones asignables a los clientes.
Router(config)# ip dhcp pool nombre del pool
2. Determinar el direccionamiento de red y máscara para dicho pool.
Router(config-dhcp)# network dirección IP-máscara
3. Configurar el período que el cliente podrá disponer de esta dirección.
Router(config-dhcp)# lease tiempo estipulado
4. Identificar el servidor DNS.
Router(config-dhcp)# dns-server dirección IP
5. Identificar la puerta de enlace o gateway.
Router(config-dhcp)# default-router dirección IP
6. Excluir si es necesario las direcciones que por seguridad o para evitar
conflictos no se necesita que el DHCP otorgue.
Router(config)#ip dhcp excluded-address IP inicio-IP fin
Las direcciones IP son siempre asignadas en la misma interfaz que tiene una
IP dentro de ese pool. La siguiente sintaxis muestra un ejemplo de
configuración dentro de ese contexto:
Router(config)# interface fastethernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config)# ip dhcp pool 1
Router(config-dhcp)# network 192.168.1.0 /24
Router(config-dhcp)# default-router 192.168.1.1
Router(config-dhcp)# lease 3
Router(config-dhcp)# dns-server 192.168.77.100
Algunos dispositivos IOS reciben direccionamiento IP en algunas interfaces y
asignan direcciones IP en otras. Para estos casos DHCP puede importar las
opciones y parámetros de una interfaz a otra. El siguiente comando para
ejecutar esta acción es:
Router(config-dhcp)# import all
Este comando es muy útil cuando se debe configurar DHCP en oficinas
remotas. El router una vez localizado en su sitio puede determinar el DNS y
las opciones locales.
Los servidores DHCP detectan conflictos utilizando ping, mientras que los
clientes lo hacen con Gratuitous ARP. En cualquiera de los casos si se detecta
un conflicto, la dirección se elimina del grupo y no será asignada hasta que
un administrador resuelva el conflicto.
El comando show ip dhcp conflict muestra el método con el que se ha
detectado el conflicto. El comando clear ip dhcp conflict permite al
administrador borrar el conflicto de la lista para que el servidor pueda volver
a ofrecer la dirección.
Los siguientes comandos muestran detalles de la configuración de DHCP:
show ip dhcp server statistics
show ip dhcp pool
show ip dhcp binding
R1#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/Hardware address/User name Lease expiration Type
192.168.1.101 0063.6973.636f.2d May 12 2007 08:24 PM Automatic
192.168.1.111 0100.1517.1973.2c May 12 2007 08:26 PM Automatic
Router# show ip dhcp pool MIPOOL
Pool MIPOOL:
Utilization mark (high/low) : 85 / 15
Subnet size (first/next) : 24 / 24 (autogrow)
VRF name : abc
Total addresses : 28
Leased addresses : 11
Pending event : none
2 subnets are currently in the pool :
Current index IP address range Leased addresses
10.1.1.12 10.1.1.1 - 10.1.1.14 11
10.1.1.17 10.1.1.17 - 10.1.1.30 0
Interface Ethernet0/0 address assignment
10.1.1.1 255.255.255.248
10.1.1.17 255.255.255.248 secondary
Configuración de un cliente DHCP
Configurar IOS para la opción del DHCP como cliente es simple.
Router(config)# interface tipo número
Router(config-if)# ip address dhcp
Un router puede ser cliente, servidor o ambos a la vez en diferentes
interfaces.
Configuración de DHCP Relay
Un router configurado para dejar pasar los DHCP request es llamado DHCP
Relay. Cuando es configurado, el router permitirá el reenvío de broadcast que
haya sido enviado a un puerto UDP determinado hacia una localización
remota. El DHCPRelay reenvía los requests y configura la puerta de enlace
en el router local.
Router(config-if)# ip helper-address dirección IP
ICMP
El protocolo ICMP (Internet Control Message Protocol), suministra
capacidades de control y envío de mensajes. Herramientas tales como ping y
trace utilizan ICMP para poder funcionar, enviando un paquete a la dirección
destino específica y esperando una determinada respuesta.
El campo código de la cabecera ICMP puede contener uno de los siguientes
valores:
Campo Descripción
0 Respuesta de eco.
3 Destino inaccesible.
4 Disminución del tráfico desde el origen.
5 Redireccionar ruta.
8 Solicitud de eco.
11 Tiempo excedido.
12 Problema de Parámetros.
13 Solicitud de marca de tiempo.
14 Respuesta de marca de tiempo.
15 Solicitud de información.
16 Respuesta de información.
17 Solicitud de máscara.
18 Respuesta de máscara.
Ping
El ping (Packet Internet Groper) es la herramienta de diagnóstico más
utilizada por los administradores. Mediante esta utilidad puede diagnosticarse
el estado, velocidad y calidad de la red de forma rápida y sencilla.
El comando ping prueba conectividad de sitio a sitio, en sus dos formas,
básica y extendida, enviando y recibiendo paquetes echo según muestran las
siguientes sintaxis.
Router>ping 10.99.60.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.99.60.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/16 ms
Router#ping ipv6 2001:0:1ab:5:1111::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:0:1ab:5:1111::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 49/59/63 ms
La versión extendida del comando ping permite efectuar variantes tales como
cantidad y tamaño de paquetes, tiempo entre cada envío, etc. Es una eficaz
herramienta de pruebas cuando se desea no solo pruebas de conectividad sino
también de carga.
Router#ping
Protocol [ip]: ip
Target IP address: 10.99.60.1
Repeat count [5]: 50
Datagram size [100]: 100
Timeout in seconds [2]: 2
Extended commands [n]: n
Sweep range of sizes [n]: n
Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 10.99.60.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (50/50), round-trip min/avg/max = 1/2/4 ms
La versión extendida del comando ping permite efectuar variantes tales como
cantidad y tamaño de paquetes, tiempo entre cada envío, etc. Es una eficaz
herramienta de pruebas cuando se desea no solo pruebas de conectividad,
sino también de carga.
La siguiente tabla muestra algunos de los caracteres con los que ping muestra
efectividad o fallos en los routers.
Carácter Descripción
! Cada signo de exclamación indica la recepción de una respuesta.
. Cada punto indica agotado el tiempo esperando por una respuesta.
U El destino resulta inalcanzable.
Q Destino muy congestionado.
? Tipo de paquete desconocido.
& Curso de vida de los paquetes se ha superado.
TTL
Los paquetes IP poseen un campo que especifica el tiempo de vida del
paquete. El TTL (Time To Live) impide que un paquete esté dando vueltas
indefinidamente por la red de redes. El valor del TTL contenido en este
campo disminuye en una unidad cada vez que el paquete atraviesa un router.
Cuando el TTL llega a 0, éste se descarta y se envía un mensaje ICMP de tipo
11 para informar al origen.
NOTA:
Los sistemas operativos añaden un valor de TTL al paquete al salir. Por ejemplo, el valor de
TTL de Linux: 64, Windows 10: 128.
Traceroute
Los mensajes ICMP de tipo 11 se pueden utilizar para hacer una traza del
camino que siguen los paquetes hasta llegar a su destino.
El comando traceroute utiliza el principio de funcionamiento del ping pero
mostrando e identificando cada salto a lo largo de la ruta y disminuyendo el
valor del TTL en cada salto. Cuando un paquete echo reply (ping) no llega a
su destino traceroute mostrará el salto donde dicho paquete no consigue
llegar. Si no se especifica lo contrario el límite de saltos es 30. En rutas
extremadamente grandes la traza puede abortarse con las teclas
Ctrl+Shift+6.
Router#traceroute ?
WORD Trace route to destination address or hostname
ip IP Trace
ipv6 IPv6 Trace
Router#traceroute 10.99.60.1
Type escape sequence to abort.
Tracing the route to 10.99.60.1
1 10.99.170.11 0 msec 0 msec 4 msec
2 81.46.16.48 4 msec 0 msec 4 msec
3 10.99.60.1 4 msec 0 msec 0 msec
El comando traceroute también tiene una versión extendida que se puede
utilizar para ver qué ruta toman los paquetes para llegar a un destino y
comprobar el enrutamiento al mismo tiempo. Esto es útil para solucionar
problemas con los bucles de enrutamiento, o para cuando se determina que
los paquetes se pierden, si una ruta no está presente, o si los paquetes están
siendo bloqueados (por ejemplo, por una ACL o un firewall). Puede utilizar
el comando ping extendido con el fin de determinar el tipo de problema de
conectividad y, a continuación, utilizar el comando traceroute extendido con
el fin de deducir donde se produce exactamente el problema.
El comando termina en cualquiera de estos casos:
El destino responde
Se supera el TTL máximo
El usuario interrumpe la traza con la secuencia de escape
Router#traceroute
Protocol [ip]: ip
Target IP address: 102.29.59.1
Source address: 102.29.119.10
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 10.99.59.1
VRF info: (vrf in name/id, vrf out name/id)
1 102.29.119.7 0 msec 0 msec 0 msec
2 102.29.52.15 0 msec 0 msec 4 msec
3 81.46.16.20 4 msec 4 msec 4 msec
4 102.29.59.1 8 msec * 4 msec
NTP
NTP (Network Time Protocol) permite a los routers de la red sincronizar sus
configuraciones de tiempo con un servidor NTP. Un grupo de clientes NTP
puede obtener información de fecha y hora de una sola fuente y tener
configuraciones más consistentes. NTP utiliza el puerto UDP 123 y está
documentado en la RFC 1305.
Cuando se implementa NTP en la red, puede configurarse para que se
sincronice con un reloj privado o puede sincronizarse con un servidor NTP
disponible públicamente en Internet.
Muchos servidores NTP en Internet no solicitan autenticación de sus pares,
NTPv3 (NTP versión 3) y posteriores soportan un mecanismo de
autenticación criptográfico entre pares NTP.
Configuración del servidor
En una red configurada con NTP, se designan uno o más routers como master
NTP, que serán los encargados de mantener el reloj. El siguiente comando
habilita un NTP master.
Router(config)# ntp master estrato
NTP utiliza un modelo jerárquico, donde el valor de estrato hace referencia a
una fuente externa, como puede ser un reloj atómico.
Configuración del cliente
La configuración manual funciona adecuadamente en un ambiente de una red
pequeña, a medida que la red crece se vuelve difícil asegurarse de que todos
los dispositivos de la infraestructura estén operando con la fecha
sincronizada.
La configuración manual de la fecha y hora se realiza con el comando:
Router# clock set hh:mm:ss day month year
Router# clock set 14:38:00 feb 10 2016
Router# show clock
14:38:11.292 PST Tue Feb 10 2016
Las asociaciones entre máquinas que ejecutan NTP generalmente tienen una
configuración estática. Se da a cada dispositivo la dirección IP de los masters
NTP. Es posible obtener una fecha y hora precisas intercambiando mensajes
NTP entre cada par de máquinas con una asociación.
Para que el reloj de un cliente NTP sincronice con un servidor NTP se utiliza
el siguiente comando:
Router(config)# ntp server dirección-IP
Los comandos show ntp status y show ntp associations permiten ver el
estado y las asociaciones de los pares NTP.
Router#show ntp status
Clock is synchronized, stratum 6, reference is 204.99.239.60
nominal freq is 250.0000 Hz, actual freq is 249.9978 Hz, precision is 2**18
reference time is D5EC0BCF.3A424882 (15:02:07.227 CET Tue Sep 242013)
clock offset is 0.0701 msec, root delay is 3.97 msec
root dispersion is 47.01 msec, peer dispersion is 0.31 msec
Configuración zona horaria y horario de verano
Para configurar el desplazamiento de la zona horaria UTC (Coordinated
Universal Time), utilice el comando clock timezone en el modo de
configuración global. Para volver a la configuración predeterminada, utilice
la forma no de este comando.
clock timezone zone-name offset-hours offset-minutes
Para configurar el sistema para que cambie automáticamente al horario de
verano utilice el comando clock summer-time en el modo de configuración
global. Para quitar el ajuste del horario de verano, utilice la forma no de este
comando.
clock summer-time zone { date { date month year hh:mm date month
year hh:mm | month date year hh:mm monthdate year hh:mm } | recurring week day month hh:mm
week day month hh:mm } [offset]
FHRP
La mayoría de los dispositivos finales requieren la configuración de una
puerta de enlace para su funcionamiento. Los routers y switches multicapa
pueden proporcionar tolerancia a fallos o alta disponibilidad cuando están
actuando como puertas de enlace como lo hacen los routers tradicionales.
Los FHRP (First Hop Redundancy Protocol), hacen referencia a aquellos
protocolos orientados a proporcionar IPs y MACs virtuales con el fin de dotar
de redundancia y/o balanceo a la red.
Los switch multicapa pueden utilizar los siguientes protocolos:
HSRP (Host Standby Routing Protocol).
VRRP (Virtual Router Redundancy Protocol).
GLBP (Gateway Load Balancing Protocol).
HSRP
HSRP (Host Standby Router Protocol) es un protocolo propietario de Cisco
que permite que varios routers o switches multicapa aparezcan como una sola
puerta de enlace. Cada uno de los routers que proporcionan redundancia es
asignado a un grupo HSRP común, un router es elegido como primario o
active y otro como secundario o standby, si existen más routers estarán
escuchando en estado listen.
La elección del tipo de router está basada en una escala de prioridades en un
rango de 0 a 255 y que por defecto toma el valor de 100. El router con la
prioridad más alta se convierte en el router active del grupo y en caso de que
todos los routers tengan la misma prioridad será active aquel con la IP más
alta configurada en su interfaz de HSRP.
HSRP v2 añade las siguientes características:
HSRPv2 amplía el número de grupos soportados a 4095 en lugar de
255 con HSRPv1.
HSRP versión 2 utiliza el IPv4 dirección de multidifusión 224.0.0.102
o la dirección IPv6 multicast FF02 :: 66 para enviar paquetes hello en
lugar de 224.0.0.2 utilizados por HSRPv1.
HSRP v2 utiliza el rango de direcciones MAC de 0000.0C9F.F000 a
0000.0C9F.FFFF para IPv4 y 0005.73A0.0000 a 0005.73A0.0FFF
para IPv6 en los tres últimos dígitos hexadecimales de la dirección
MAC indican el número de grupo HSRP.
HSRPv2 tiene soporte para autenticación MD5.
El proceso de configuración se inicia seleccionando un número de grupo
HSRP dentro de un rango de 0 a 4095 y asignando un valor para la prioridad:
Router(config-if)#standby grupo priority prioridad
Al configurar HSRP en una interfaz el router se mueve entre una serie de
estados hasta alcanzar el estado final que dependerá de la prioridad y del
estado del resto de los miembros del grupo. Los estados HSRP son los
siguientes:
Disabled, desactivado.
Init, iniciándose.
Listen, escuchando.
Speak, hablando.
Standby, en espera.
Active, activo.
Los mensajes hello se envían cada 3 segundos. Un router en el estado de
standby es el único que monitoriza los hello del router activo. Cuando el
temporizador holdtime (3 veces el intervalo hello o 10 segundos) se inicia se
presume que el router activo ha caído, el router en el estado standby pasará
entonces al estado active y en caso de haber uno o más routers en el estado
listen el de mayor prioridad pasará al estado standby.
Para cambiar los temporizadores de HSRP es necesario hacerlo en todos los
routers del grupo, el holdtime debería ser siempre al menos 3 veces el
intervalo hello. El comando para efectuar dicho cambio es el siguiente:
Router(config-if)#standby group timers [msec] hello [msec] holdtime
Una vez que un router es elegido como activo mantendrá su estado incluso si
otros routers con mayor prioridad son detectados. Es importante tener en
cuenta para evitar que un router no deseado sea elegido como activo, iniciar
la red encendiendo primero el router adecuado para cumplir el rol de activo.
Este comportamiento es posible corregirlo de manera que el router con mayor
prioridad sea siempre el activo, para esto se puede utilizar el siguiente
comando:
Router(config-if)#standby group preempt [delay [minimum seconds] [reload seconds]]
Por defecto después de aplicar este comando el router del grupo con mayor
prioridad siempre será el activo y tomará su rol inmediatamente. La
configuración del parámetro delay minimum puede efectuarse para esperar
un tiempo determinado a partir de que la interfaz esté operativa antes de
tomar el rol de activo y reload, se fuerza al router a esperar un tiempo
determinado a partir del reinicio antes de tomar el rol de activo.
Además de la dirección IP única que cada router tiene configurada en las
interfaces que ejecutan HSRP hay una dirección IP común, conocida como IP
virtual o de HSRP.
Los hosts entonces pueden apuntar a esa IP como su puerta de enlace,
teniendo la certeza de que siempre habrá algún router respondiendo. Hay que
tener en cuenta que tanto la IP real como la de HSRP han de pertenecer al
mismo rango.
Para asignar la IP virtual se utiliza el siguiente comando:
Router(config-if)#standby grupo ip ip-virtual
Norte(config)# interface vlan 50
Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Norte(config-if)# standby 1 priority 200
Norte(config-if)# standby 1 preempt
Norte(config-if)# standby 1 ip 192.168.1.1
HSRP permite ser configurado con dos tipos diferentes de autenticación,
todos los miembros del grupo deben coincidir en el tipo y clave. Los dos
modos de autenticación HSRP son:
Texto plano. Los mensajes de HSRP son enviados con una cadena en
texto plano de hasta ocho caracteres esta cadena debe ser igual en
todos los routers del grupo. El siguiente comando puede configurarlo:
Switch(config-if)#standby group authentication string
MD5. Un cifrado del tipo MD5 (Message Digest 5) es computado en
una porción de cada mensaje HSRP y en la clave secreta configurada
en cada router del grupo.
El hash MD5 es enviado junto con los mensajes HSRP. Cuando un
mensaje es recibido el router recalcula el cifrado del mensaje y de su
propia clave, en caso de coincidencia el mensaje será aceptado. Este
tipo de autenticación es, obviamente, mucho más segura que en texto
plano. Para configurarla se utiliza el siguiente comando:
Switch(config-if)#standby group authentication md5 key-
string [0 | 7] string
Por defecto la clave se pone en texto plano, una vez introducida
aparecerá encriptada en la configuración. Para copiar y pegar dicha
clave en otros routers es posible copiarla ya encriptada y especificar la
opción 7 delante de la clave antes de pegarla.
Alternativamente se puede usar una cadena de claves que, aunque hace
que la configuración sea más compleja, proporciona mayor
flexibilidad. Los comandos son los siguientes:
Switch(config)#key chain chain-name
Switch(config-keychain)#key key-number
Switch(config-keychain-key)#key-string [0 | 7] string
Switch(config)#interface type mod/num
Switch(config-if)#standby group authentication md5 key-chain chain-name
Para poder llevar a cabo el balanceo de carga en HSRP es necesario utilizar al
menos 2 grupos, para el caso de tener dos switches, SW1 sería activo en un
grupo y standby en el otro mientras que SW2 actuaría con el rol contrario a
SW1 para esos mismos grupos. El conjunto de host que utilicen estas puertas
de enlace deberá ser asignados mitad con una IP y mitad con otra IP.
La siguiente sintaxis corresponde al escenario de abajo. Catalyst Norte es
activo para el grupo 1 con IP 192.168.1.1 y es standby del grupo 2 con IP192.168.1.2. Catalyst Sur tiene una configuración similar, pero tomando el
rol contrario para cada grupo.
Cat_Norte(config)# interface vlan 50
Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Cat_Norte(config-if)# standby 1 priority 200
Cat_Norte(config-if)# standby 1 preempt
Cat_Norte(config-if)# standby 1 ip 192.168.1.1
Cat_Norte(config-if)# standby 1 authentication CCna
Cat_Norte(config-if)# standby 2 priority 100
Cat_Norte(config-if)# standby 2 ip 192.168.1.2
Cat_Norte(config-if)# standby 2 authentication CCna
Cat_Sur(config)# interface vlan 50
Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0
Cat_Sur(config-if)# standby 1 priority 100
Cat_Sur(config-if)# standby 1 ip 192.168.1.1
Cat_Sur(config-if)# standby 1 authentication CCna
Cat_Sur(config-if)# standby 2 priority 200
Cat_Sur(config-if)# standby 2 preempt
Cat_Sur(config-if)# standby 2 ip 192.168.1.2
Cat_Sur(config-if)# standby 2 authentication CCnP
Para ver el estado HSRP puede utilizarse el comando show standby.
Router#show standby [brief] [vlan vlan-id | type mod/num]
Router#show standby
GigabitEthernet0/0 - Group 1 (version 2)
State is Active
9 state changes, last state change 00:14:51
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0C9F.F001
Local virtual MAC address is 0000.0C9F.F001 (v2 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.479 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.10
Priority 110 (default 100)
Group name is hsrp-Gig0/0-1 (default)
Los siguientes ejemplos muestran la salida de este comando.
Norte# show standby vlan 50 brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active addr Standby addr Group addr
Vl50 1 200 P Active local 192.168.1.11 192.168.1.1
Vl50 2 100 Standby 192.168.1.11 local 192.168.1.2
Norte# show standby vlan 50
Vlan50 - Group 1
Local state is Active, priority 200, may preempt
Hellotime 3 sec, holdtime 10 sec
Next hello sent in 2.248
Virtual IP address is 192.168.1.1 configured
Active router is local
Standby router is 192.168.1.11 expires in 9.860
Virtual mac address is 0000.0c07.ac01
Authentication text “CCnA”
2 state changes, last state change 00:11:58
IP redundancy name is “hsrp-Vl50-1” (default)
Vlan50 - Group 2
Local state is Standby, priority 100
Hellotime 3 sec, holdtime 10 sec
Next hello sent in 1.302
Virtual IP address is 192.168.1.2 configured
Active router is 192.168.1.11, priority 200 expires in 7.812
Standby router is local
Authentication text “CCnA”
4 state changes, last state change 00:10:04
IP redundancy name is “hsrp-Vl50-2” (default)
Sur#show standby vlan 50 brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active addr Standby addr Group addr
Vl50 1 100 Standby 192.168.1.10 local 192.168.1.1
Vl50 2 200 P Active local 192.168.1.10 192.168.1.2
Sur#show standby vlan 50
Vlan50 - Group 1
Local state is Standby, priority 100
Hellotime 3 sec, holdtime 10 sec
Next hello sent in 0.980
Virtual IP address is 192.168.1.1 configured
Active router is 192.168.1.10, priority 200 expires in 8.128
Standby router is local
Authentication text “CCnA”
1 state changes, last state change 00:01:12
IP redundancy name is “hsrp-Vl50-1” (default)
Vlan50 - Group 2
Local state is Active, priority 200, may preempt
Hellotime 3 sec, holdtime 10 sec
Next hello sent in 2.888
Virtual IP address is 192.168.1.2 configured
Active router is local
Standby router is 192.168.1.10 expires in 8.500
Virtual mac address is 0000.0c07.ac02
Authentication text “CCnA”
1 state changes, last state change 00:01:16
RECUERDE:
● Los routers HSRP no están conectados al mismo segmento de red, ya sea debido a un
problema de la capa física o un problema de configuración VLAN.
Los routers HSRP no están configurados con direcciones IP de la misma subred, por
tanto, un router de reserva no sabría cuando el router activo falla.
Los routers HSRP no están configurados con la misma dirección IP virtual.
Los routers HSRP no están configurados con el mismo número de grupo HSRP.
Los dispositivos finales no están configurados con la dirección de puerta de enlace
predeterminada correcta.
NOTA:
Los HSRP intercambian mensajes hello entre ellos para comprobar que todo está en orden
de manera multicast a través de la dirección IP 224.0.0.2 puerto UDP 1985.
VRRP
VRRP (Virtual Router Redundancy Protocol) es un protocolo estándar
definido en la RFC 2338, con un funcionamiento y configuración similares a
HSRP, una comparación entre ambos es la siguiente:
VRRP proporciona una IP redundante compartida entre un grupo de
routers, de los cuales está el activo que recibe el nombre de master
mientras que el resto se les conoce como backup. El master es aquel
con mayor prioridad en el grupo.
Los grupos pueden tomar un valor entre 0 y 255, mientras que la
prioridad asignada a un router puede tomar valores entre 1 y 254
siendo 254 la más alta y 100 el valor por defecto.
La dirección MAC virtual tiene el formato 0000.5e00.01xx, donde xx
es el número de grupo en formato hexadecimal.
Los hello de VRRP son enviados cada 1 segundo.
Por defecto los routers configurados con VRRP toman el rol de master
en cualquier momento.
VRRP no tiene un mecanismo para llevar un registro del estado de las
interfaces de la manera que lo hace HSRP.
El proceso de configuración de VRRP se realiza mediante los siguientes
comandos:
Asignación de la prioridad:
vrrp group priority level
Cambio del intervalo del temporizador:
vrrp group timers advertise [msec] interval.
Para aprender el intervalo desde el router master:
vrrp group timers learn
Deshabilita la función de automáticamente tomar el rol de master:
no vrrp group preempt
Cambia el retraso en tomar el rol de master, por defecto es 0 segundos:
vrrp group preempt [delay seconds]
Habilita la autenticación:
vrrp group authentication string
Configura la IP virtual:
vrrp group ip ip-address [secondary]
La siguiente sintaxis es un ejemplo de configuración:
Cat_Norte(config)# interface vlan 50
Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Cat_Norte(config-if)# vrrp 1 priority 200
Cat_Norte(config-if)# vrrp 1 ip 192.168.1.1
Cat_Norte(config-if)# vrrp 2 priority 100
Cat_Norte(config-if)# no vrrp 2 preempt
Cat_Norte(config-if)# vrrp 2 ip 192.168.1.2
Cat_Sur(config)# interface vlan 50
Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0
Cat_Sur(config-if)# vrrp 1 priority 100
Cat_Sur(config-if)# no vrrp 1 preempt
Cat_Sur(config-if)# vrrp 1 ip 192.168.1.1
Cat_Sur(config-if)# vrrp 2 priority 200
Cat_Sur(config-if)# vrrp 2 ip 192.168.1.2
La siguiente salida corresponde a los show vrrp brief y show vrrp:
Cat_Norte# show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Vlan50 1 200 3218 Y Master 192.168.1.10 192.168.1.1
Vlan50 2 100 3609 Backup 192.168.1.11 192.168.1.2
Cat_Sur# show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Vlan50 1 100 3609 Backup 192.168.1.10 192.168.1.1
Vlan50 2 200 3218 Y Master 192.168.1.11 192.168.1.2
Cat_Norte# show vrrp
Vlan50 - Group 1
State is Master
Virtual IP address is 192.168.1.1
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 200
Authentication is enabled
Master Router is 192.168.1.10 (local),
priority is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.218 sec
Vlan50 - Group 2
State is Backup
Virtual IP address is 192.168.1.2
Virtual MAC address is 0000.5e00.0102
Advertisement interval is 1.000 sec
Preemption is disabled
Priority is 100
Authentication is enabled
Master Router is 192.168.1.11, priority
is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.609 sec
(expires in 2.977 sec)
Cat_Sur# show vrrp
Vlan50 - Group 1
State is Backup
Virtual IP address is 192.168.1.1
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is disabled
Priority is 100
Authentication is enabled
Master Router is 192.168.1.10, priority
is 200
Master Advertisementinterval is
1.000 sec
Master Down interval is 3.609 sec
(expires in 2.833 sec)
Vlan50 - Group 2
State is Master
Virtual IP address is 192.168.1.2
Virtual MAC address is 0000.5e00.0102
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 200
Authentication is enabled
Master Router is 192.168.1.11 (local),
priority is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.218 sec
GLBP
GLBP (Gateway Load Balancing Protocol) es un protocolo propietario de
Cisco que sirve para añadir balanceo de carga sin la necesidad de utilizar
múltiples grupos a la función de redundancia con HSRP o VRRP.
Múltiples routers o switches son asignados a un mismo grupo, pudiendo
todos ellos participar en el envío de tráfico. La ventaja de GLBP es que los
host clientes no han de dividirse y apuntar a diferentes puertas de enlace,
todos pueden tener la misma. El balanceo de carga se lleva a cabo
respondiendo a los clientes con diferentes direcciones MAC, de manera que,
aunque todos apuntan a la misma IP la dirección MAC de destino es
diferente, repartiendo de esta manera el tráfico entre los diferentes routers.
Uno de los routers del grupo GLBP es elegido como “puerta de enlace virtual
activa” o AVG (Active Virtual Gateway), dicho router es el de mayor
prioridad del grupo o en caso de no haberse configurado dicha prioridad, será
el de IP más alta. El AVG responde a las peticiones ARP de los clientes y la
MAC que envía dependerá del algoritmo de balanceo de carga que se esté
utilizando.
El AVG también asigna las MAC virtuales a cada uno de los routers del
grupo, pudiéndose usar hasta 4 MAC virtuales por grupo. Cada uno de esos
routers recibe el nombre de AVF (Active Virtual Forwarder) y se encarga de
enviar el tráfico recibido en su MAC virtual. Otros routers en el grupo
pueden funcionar como backup en caso de que el AVF falle.
La prioridad GLBP se configura con el siguiente comando:
Switch(config-if)#glbp group priority level
El rango de números que pueden usarse para definir grupos asume valores
entre 0 y 1023. El rango de prioridades es entre 1 y 255 siendo 255 la más
alta y 100 la de por defecto.
Como ocurre en HSRP se tiene que habilitar la función preempt en caso de
ser necesario, ya que por defecto no está permitido tomar el rol de AVG a no
ser que éste falle. El siguiente comando lo configura:
Switch(config-if)#glbp group preempt [delay minimum seconds]
Para monitorizar el estado de los routers AVG se envían hello cada 3
segundos y en caso de no recibir respuesta en el intervalo de holdtime de 10
segundos, se considera que el vecino está caído. Es posible modificar estos
temporizadores con el siguiente comando:
Switch(config-if)#glbp group timers [msec] hellotime [msec] holdtime
Para modificar los temporizadores se debe tener en cuenta que el holdtime
debería ser al menos 3 veces mayor que el hello.
GLBP también usa mensajes hello para monitorizar los AVF (Active Virtual
Forwarder). Cuando el AVG detecta que un AVF ha fallado asigna el rol a
otro router, el cual podría ser o no otro AVF, teniendo entonces que enviar el
tráfico destinado a 2 MAC virtuales.
Para solventar el problema de estar respondiendo a mensajes destinados a dos
MAC virtuales se usan dos temporizadores:
Redirect. Determina cuándo el AVG dejará de usar la MAC del router
que falló para respuestas ARP.
Timeout. Cuando expira la MAC y el AVF que había fallado son
eliminados del grupo, asumiendo que ese AVF no se recuperará. Los
clientes necesitan entonces renovar su memoria y obtener la nueva
MAC.
El temporizador redirect es de 10 minutos por defecto, pudiendo
configurarse hasta un máximo de 1 hora. El temporizador timeout es de 4
horas por defecto, pudiendo configurarse dentro del rango de 18 horas. Es
posible ajustar estos valores usando el siguiente comando:
Switch(config-if)#glbp group timers redirect redirect timeout
GLBP usa una función de “peso” para determinar qué router será el AVF
para una MAC virtual dentro de un grupo. Cada router comienza con un peso
máximo entre 1 y 255 siendo por defecto 100. Cuando una interfaz en
particular falla, el peso es disminuido en el valor que esté configurado. GLBP
usa umbrales para determinar si un router puede o no ser el AVF. Si el valor
del peso está por debajo de ese umbral el router no puede asumir ese rol, pero
si dicho valor volviera a superar el umbral entonces sí podría.
GLBP necesita tener conocimiento sobre qué interfaces utilizarán este
mecanismo y cómo ajustar su peso. El siguiente comando especifica dicha
interfaz:
Switch(config)#track object-number interface type mod/num {line-protocol | ip routing}
El valor object-number simplemente referencia el objeto que se está
monitorizando y puede tener un valor entre 1 y 500. Las condiciones a
verificar pueden ser line-protocol o ip-routing. Seguidamente es necesario
definir los umbrales del peso para lo cual se utiliza el siguiente comando:
Switch(config-if)#glbp group weighting maximum [lower lower] [upper upper]
El parámetro maximum indica con qué valor se inicia y los valores lower y
upper definen cuándo, o cuándo no, el router puede actuar como AVF.
Finalmente se debe indicar a GLBP qué objetos ha de monitorizar para
aplicar los umbrales de “peso”. Para ello se utiliza el siguiente comando:
Switch(config-if)#glbp group weighting track object-number [decrement value]
El parámetro value indica el valor que se disminuirá cuando el objeto
monitorizado falle. Por defecto es 10 y puede ser configurado con un valor
entre 1 y 254.
El balanceo de carga AVG funciona enviando MAC virtuales a los clientes.
Previamente estas MAC virtuales han sido asignadas a los AVF permitiendo
hasta un máximo de 4 MAC virtuales por grupo.
Los siguientes algoritmos se utilizan para el balanceo de carga con GLBP:
Round Robin, cada nueva petición ARP para la IP virtual recibe la
siguiente MAC virtual disponible. La carga de tráfico se distribuye
equitativamente entre todos los routers del grupo asumiendo que los
clientes envían y reciben la misma cantidad de tráfico.
Weighted, el valor del peso configurado en la interfaz perteneciente al
grupo será la referencia para determinar la proporción de tráfico
enviado a cada AVF.
Host dependent, cada cliente que envía una petición ARP es
respondido siempre con la misma MAC. Es útil para clientes que
necesitan que la MAC de la puerta de enlace sea siempre la misma.
El método de balanceo de carga utilizado se selecciona con el siguiente
comando:
Switch(config-if)#glbp group load-balancing [round-robin | weighted | host-dependent]
En la siguiente figura existen 3 switches multicapa participando en un grupo
común GLBP. Catalyst A es elegido como AVG y por lo tanto coordina el
proceso. El AVG responde todas las peticiones de la puerta de enlace
192.168.1.1. Dicho router se identifica a sí mismo y a Catalyst B y Catalyst
C como AVF del grupo.
Para habilitar GLBP se debe asignar una IP virtual al grupo mediante el
siguiente comando:
Switch(config-if)#glbp group ip [ip-address [secondary]]
Cuando en el comando la dirección IP no se configura será aprendida de otro
router del grupo. Para el caso puntual de la configuración del posible AVG es
necesario especificar la IP virtual para que los demás routers puedan
conocerla.
CatalystA(config)# interface vlan 50
CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0
CatalystA(config-if)# glbp 1 priority 200
CatalystA(config-if)# glbp 1 preempt
CatalystA(config-if)# glbp 1 ip 192.168.1.1
CatalystB(config)# interface vlan 50
CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0
CatalystB(config-if)# glbp 1 priority 150
CatalystB(config-if)# glbp 1 preempt
CatalystB(config-if)# glbp 1 ip 192.168.1.1
CatalystC(config)# interface vlan 50
CatalystC(config-if)# ip address 192.168.1.12 255.255.255.0
CatalystC(config-if)# glbp 1 priority 100
CatalystC(config-if)# glbp 1 ip 192.168.1.1
Utilizando el método de balanceo de carga round-robin, cada uno de los PC
hace peticiones ARP de la puerta de enlace. Al iniciarlos PC de izquierda a
derecha el AVG va asignando la siguiente MAC virtual secuencialmente.
Para ver información acerca de la operación de GLBP se pueden utilizar los
comandos show glbp brief o show glbp, como se muestra en los siguientes
dos ejemplos:
CatalystA# show glbp brief
Interface Grp Fwd Pri State Address Active Standby
Vl50 1 - 200 Active 192.168.1.1 local 192.168.1.11
Vl50 1 1 7 Active 0007.b400.0101 local
Vl50 1 2 7 Listen 0007.b400.0102 192.168.1.11
Vl50 1 3 7 Listen 0007.b400.0103 192.168.1.13
CatalystB# show glbp brief
Interface Grp Fwd Pri State Address Active Standby
Vl50 1 1 7 Listen 0007.b400.0101 192.168.1.10
Vl50 1 2 7 Active 0007.b400.0102 local
Vl50 1 3 7 Listen 0007.b400.0103 192.168.1.13
CatalystC# show glbp brief
Interface Grp Fwd Pri State Address Active Standby
Vl50 1 - 100 Listen 192.168.1.1 192.168.1.10 192.168.1.11
Vl50 1 1 7 Listen 0007.b400.0101 192.168.1.10 -
Vl50 1 2 7 Listen 0007.b400.0102 192.168.1.11 -
Vl50 1 3 7 Active 0007.b400.0103 local
CatalystA# show glbp
Vlan50 - Group 1
State is Active
7 state changes, last state change 03:28:05
Virtual IP address is 192.168.1.1
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.672 secs
Redirect time 600 sec, forwarder time-out 14400 sec
Preemption enabled, min delay 0 sec
Active is local
Standby is 192.168.1.11, priority 150 (expires in 9.632 sec)
Priority 200 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin
There are 3 forwarders (1 active)
Forwarder 1
State is Active
3 state changes, last state change 03:27:37
MAC address is 0007.b400.0101 (default)
Owner ID is 00d0.0229.b80a
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Forwarder 2
State is Listen
MAC address is 0007.b400.0102 (learnt)
Owner ID is 0007.b372.dc4a
Redirection enabled, 598.308 sec remaining (maximum 600 sec)
Time to live: 14398.308 sec (maximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 192.168.1.11 (primary), weighting 100 (expires in 8.308 sec)
Forwarder 3
State is Listen
MAC address is 0007.b400.0103 (learnt)
Owner ID is 00d0.ff8a.2c0a
Redirection enabled, 599.892 sec remaining (maximum 600 sec)
Time to live: 14399.892 sec (maximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 192.168.1.13 (primary), weighting 100 (expires in 9.892 sec)
:CASO PRÁCTICO
En base a la topología se han realizado las siguientes tareas de configuración
en el router CCNA:
Usuario, contraseña y banner.
Configuración de interfaces FastEthernet y Serial.
Creación de una tabla de hosts.
Configuración de usuario y contraseña
En el siguiente caso se han creado dos usuarios Admin_Sur con una
contraseña Ansur y Admin_Nort con una contraseña Anort. Se configura a
continuación la contraseña secret, el mensaje y la línea de consola:
Router(config)#hostname CCNA
CCNA(config)#enable secret cisco
CCNA(config)#username Admin_Sur password Ansur
CCNA(config)#username Admin_Nort password Anort
CCNA(config)# banner motd * Usted intenta ingresar en un sistema protegido por las leyes
vigentes*
CCNA(config)#line console 0
CCNA(config-line)#login local
Cuando el usuario Admin_Nort intente ingresar al router le será solicitado su
usuario y contraseña, y luego la enable secret:
Press RETURN to get started.
Usted intenta ingresar en un sistema protegido por las leyes vigentes
User Access Verification
Username: Admin_Nort
Password:***** (contraseña de usuario, Anort)
CCNA>enable
Password:***** (enable secret, cisco)
CCNA#
NOTA:
Las contraseñas sin encriptación aparecen en el show running debiendo tener especial
cuidado ante la presencia de intrusos.
RECUERDE:
El comando service password-encryption encriptará con un cifrado leve las contraseñas que
no están cifradas por defecto como las de telnet, consola, auxiliar, etc. Una vez cifradas las
contraseñas no se podrán volver a leer en texto plano.
Configuración de una interfaz FastEthernet
La sintaxis muestra la configuración de una interfaz Fastethernet:
CCNA>enable
Password:*******
CCNA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
CCNA(config)#interface Fastethernet 0
CCNA(config-if)#ip address 192.168.1.1 255.255.255.0
CCNA(config-if)#speed 100
CCNA(config-if)#duplex full
CCNA(config-if)#no shutdown
CCNA(config-if)#description Conexion_Host
Configuración de una interfaz Serie
El ejemplo muestra la configuración de un enlace serial como DCE:
CCNA(config)#interface serial 0/0
CCNA(config-if)#ip address 220.220.10.2 255.255.255.252
CCNA(config-if)#clock rate 56000
CCNA(config-if)#bandwidth 100000
CCNA(config-if)#description Conexion_Wan
CCNA(config-if)#no shutdown
Configuración de una tabla de host
A continuación se ha creado una tabla de host con el comando ip host
CCNA(config)#ip host SERVIDOR 204.200.1.2
CCNA(config)#ip host WAN 220.220.10.1
CCNA(config)#ip host HOST 192.168.1.2
CCNA(config)#exit
CCNA#show host
Host Flags Age Type Address(es)
SERVIDOR (perm, OK) 0 IP 204.200.1.2
ROUTER (perm, OK) 0 IP 220.220.10.1
HOST (perm, OK) 0 IP 192.168.1.2
RECUERDE:
En el caso que se muestra arriba si se deseara enviar un ping a la dirección IP 204.200.1.2
bastaría con ejecutar ping SERVIDOR. Por defecto las tablas de host están asociadas al
puerto 23 (telnet); si solo se ejecutara SERVIDOR el router intentaría establecer una sesión
de telnet con ese host, y solo tienen carácter local.
Configuración dual-stack
En base a la topología se han realizado las siguientes tareas de configuración
en el router CCNAv6 para que trabaje en dual-stack:
Habilitación del enrutamiento IPv6.
Configuración de las interfaces FastEthernet 0/0 y FastEthernet 0/1
con direccionamiento estático IPv4 e IPv6.
Configuración de la interfaz Serial 0/2/0 con direccionamiento IPv6
EUI-64.
Configuración de la interfaz FastEthernet 1/0 con direccionamiento
dinámico IPv6.
Se realizan pruebas de conectividad desde el router CCNAv6 hacia
Host A y Host B. En este último caso de dos formas diferentes.
CCNAv6(config)#ipv6 unicast-routing
CCNAv6(config)#int fastEthernet 0/0
CCNAv6(config-if)#ipv6 address 2001:0:1AB:6:2222::2/64
CCNAv6(config-if)#ip address 192.168.1.1 255.255.255.0
CCNAv6(config-if)#no shutdown
CCNAv6(config-if)#exit
CCNAv6(config)#interface fastEthernet 0/1
CCNAv6(config-if)#ipv6 address 2001:0:1ab:5:1111::1/64
CCNAv6(config-if)#ip address 192.168.0.1 255.255.255.0
CCNAv6(config-if)#no shutdown
CCNAv6(config-if)#exit
CCNAv6(config)#interface serial 0/2/0
CCNAv6(config-if)#ipv6 address 2001:0:1AB:10::/64 eui-64
CCNAv6(config-if)#no shutdown
CCNAv6(config)#int fastEthernet 1/0
CCNAv6(config-if)#ipv6 address autoconfig
CCNAv6(config-if)#exit
CCNAv6(config)# exit
CCNAv6#show running-config
Building configuration...
Current configuration : 800 bytes
!
.......................
ipv6 unicast-routing
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
ipv6 address 2001:0:1AB:6:2222::2/64
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
ipv6 address 2001:0:1AB:5:1111::1/64
!
interface Serial0/2/0
no ip address
ipv6 address 2001:0:1AB:10::/64 eui-64
!
interface FastEthernet1/0
no ip address
ipv6 address autoconfig
.....................................
CCNAv6#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 49/59/63 ms
CCNAv6#ping 2001:0:1ab:5:1111::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:0:1ab:5:1111::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 62/74/125 ms
CCNAv6#ping ipv6 2001:0:1ab:5:1111::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:0:1ab:5:1111::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 49/59/63 ms
Configuración dual-stack con túnel
En la siguiente práctica se ha creado un túnel IPv4 entre los router Derecha e
Izquierda por el quese enviará trafico IPv6 intercambiado por las interfaces
Tunnel0 de ambos routers.
Habilitar el enrutamiento IPv6 en ambos routers.
Configurar EIGRP 100 en su versión 6.
Configurar las interfaces seriales con IPv4 en los dos routers.
Crear las interfaces tunnel sobre IPv6 cuyo destino será la interfaz
serie del router vecino.
Configurar las interfaces GigaEthernet.
Router(config)#hostname Izquierda
Izquierda(config)#ipv6 unicast-routing
Izquierda(config)#hostname Izquierda
Izquierda(config)#interface Tunnel0
Izquierda(config-if)#ipv6 address 2001:0:1:5::1/64
Izquierda(config-if)#ipv6 eigrp 100
Izquierda(config-if)#tunnel source Serial0/0/0
Izquierda(config-if)#tunnel destination 192.168.7.1
Izquierda(config-if)#tunnel mode ipv6ip
Izquierda(config-if)#no shut
Izquierda(config-if)#exit
Izquierda(config)#interface GigabitEthernet0/0
Izquierda(config-if)#ipv6 address 2001:0:1:2::1/64
Izquierda(config-if)#ipv6 eigrp 100
Izquierda(config-if)#ipv6 enable
Izquierda(config-if)#no shut
Izquierda(config-if)#exit
Izquierda(config)#interface Serial0/0/0
Izquierda(config-if)#ip address 192.168.7.2 255.255.255.0
Izquierda(config-if)#ipv6 eigrp 100
Izquierda(config-if)#no shut
Izquierda(config)#ipv6 router eigrp 100
Izquierda(config-rtr)#no shutdown
Router(config)#hostname Derecha
Derecha(config)#ipv6 unicast-routing
Derecha(config)#interface Tunnel0
Derecha(config-if)#ipv6 address 2001:0:1:5::2/64
Derecha(config-if)#ipv6 eigrp 100
Derecha(config-if)#tunnel source Serial0/0/0
Derecha(config-if)#tunnel destination 192.168.7.2
Derecha(config-if)#tunnel mode ipv6ip
Derecha(config-if)#no shut
Derecha(config-if)#exit
Derecha(config)#interface GigabitEthernet0/0
Derecha(config-if)#ipv6 address 2001:0:1:1::1/64
Derecha(config-if)#ipv6 eigrp 100
Derecha(config-if)#ipv6 enable
Derecha(config-if)#no shut
Derecha(config-if)#exit
Derecha(config)#interface Serial0/0/0
Derecha(config-if)#ip address 192.168.7.1 255.255.255.0
Derecha(config-if)#ipv6 eigrp 100
Derecha(config-if)#clock rate 72000
Derecha(config-if)#no shut
Derecha(config-if)#exit
Derecha(config)#ipv6 router eigrp 100
Derecha(config-rtr)#no shutdown
Derecha#sh ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route, M - MIPv6
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP external
C 2001:0:1:1::/64 [0/0]
via ::, GigabitEthernet0/0
L 2001:0:1:1::1/128 [0/0]
via ::, GigabitEthernet0/0
D 2001:0:1:2::/64 [90/26880256]
via FE80::260:3EFF:FE48:D6D2, Tunnel0
C 2001:0:1:5::/64 [0/0]
via ::, Tunnel0
L 2001:0:1:5::2/128 [0/0]
via ::, Tunnel0
L FF00::/8 [0/0]
via ::, Null0
La interfaz tunnel0 muestra el origen y el destino del túnel IPv4 configurado
en el router.
Derecha#sh int tunnel 0
Tunnel0 is up, line protocol is up (connected)
Hardware is Tunnel
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 192.168.7.1 (Serial0/0/0), destination 192.168.7.2
Tunnel protocol/transport IPv6/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transport MTU 1476 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input never, output never, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 1
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 102 bits/sec, 0 packets/sec
5 minute output rate 104 bits/sec, 0 packets/sec
274 packets input, 16447 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 input packets with dribble condition detected
270 packets output, 16220 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
FUNDAMENTOS PARA EL EXAMEN
Este capítulo puede resultar muy extenso, familiarícese primero con la
operatividad, la instalación y la configuración inicial del router hasta obtener
un manejo fluido. Es imprescindible su dominio. Si no dispone de
dispositivos reales puede utilizar simuladores.
Recuerde los componentes principales del router, sus funciones e
importancia dentro de su arquitectura.
Estudie y relacione los estándares de WAN con el router.
Memorice los parámetros de configuración del emulador de consola
para ingresar por primera vez al router.
Analice los pasos de arranque del router, estudie la secuencia y para
qué sirve cada uno de los pasos.
Familiarícese con todos los comandos básicos del router, tenga en
cuenta que le servirán para el resto de las configuraciones más
adelante.
Recuerde los comandos show más usados, habitúese a su utilización
para detectar y visualizar incidencias o configuraciones.
Estudie y analice las propiedades de las distintas interfaces que puede
contener el router, recuerde los pasos a seguir en el proceso de
configuración de cada una de ellas.
Recuerde los comandos necesarios para efectuar copias de seguridad,
los requisitos mínimos y los pasos para cargar desde diferentes
fuentes. Tenga en cuenta las diferencias entre startup-config y running-
config.
Memorice como se compone el nombre del Cisco IOS y como se
obtienen las licencias para su utilización.
Tenga en cuenta la importancia del comando show version y los
diferentes valores que puede tomar el registro de configuración.
Recuerde los pasos en el proceso de recuperación de contraseñas y
para qué sirve cada uno de ellos. Tenga una idea clara de cuáles son
los registros de configuración antes y después de la recuperación.
Recuerde la función y comandos del CDP, qué muestran y para qué se
utilizan.
Compare y tenga en cuenta las diferencias entre LLDP y CDP
Configure una topología con DHCP, observe los resultados y
analícelos.
Ejercite todas las configuraciones en dispositivos reales o en
simuladores.
Ejecute pruebas de conectividad con los comandos ping y traceroute,
saque conclusiones.
Analice la funcionalidad de los protocolos de redundancia.
Estudie los casos donde los FHRP pueden dar fallos.
Ejercite las configuraciones en dispositivos reales o en simuladores.
7
REDES INALÁMBRICAS
REDES WLAN
Una red Ethernet tradicional está definida en los estándares IEEE 802.3. Cada
conexión Ethernet tiene que operar bajo unas condiciones controladas,
especialmente en lo que se refiere al enlace físico. Tanto el estado, la
velocidad y el modo de Duplex deben operar tal como lo describe el
estándar. Las redes inalámbricas están constituidas de una manera similar,
pero definidas en el estándar IEEE 802.11. Los dispositivos Ethernet
cableados tienen que recibir y transmitir tramas Ethernet acordes al protocolo
CSMA/CD (Carrier Sense Multiple Access/Collision Detect) en un segmento
de red compartido donde los host se comunican de modo Half Duplex: cada
host puede hablar libremente y posteriormente escuchar si hay colisiones con
otros dispositivos que también están intentando hablar. El proceso completo
de detectar colisiones en conexiones cableadas de una longitud máxima
funciona también cuando la trama viaja desde un origen a un destino antes de
llegar al extremo final.
Los enlaces Ethernet Full Duplex o conmutados no sufren colisiones ni
compiten por el uso del ancho de banda, aunque siguen las mismas normas
que Half Duplex. Aunque las redes inalámbricas se basan en el mismo
mecanismo, el medio wireless es más difícil de controlar.
Cuando un PC comparte un segmento de red, lo hace con un número
conocido de host; cuando el mismo PC utiliza una red wireless utiliza la
atmósfera como medio en la capa de acceso, al igual que otros usuarios que
son libres de utilizarla.
Una WLAN (Wireless LAN) utiliza un medio compartido donde un número
indeterminado de host puedecompetir por el medio en cualquier momento.
Las colisiones son un hecho constante en una WLAN porque funciona en
modo Half Duplex y siempre dentro de la misma frecuencia. Sólo una
estación puede transmitir en un determinado momento de tiempo.
Para lograr el modo Full Duplex todas las estaciones que transmiten y las que
reciben deberían hacerlo en frecuencias diferentes. Operación no permitida en
IEEE 802.11. Las tramas ACK sirven como un medio rudimentario para la
detección de colisiones, pero no logra prevenirlas. El estándar IEEE 802.11
utiliza un método preventivo llamado CSMA/CA (Carrier Sense Multiple
Access Collision Avoidance). Mientras que las redes cableadas detectan las
colisiones, las redes inalámbricas intentan evitarlas. Todas las estaciones
deben escuchar antes de poder transmitir una trama. Cuando una estación
necesita enviar una trama pueden cumplirse estas dos condiciones:
Ningún otro dispositivo está transmitiendo. La estación puede
transmitir su trama de inmediato. La estación receptora debe enviar
una trama ACK para confirmar que la trama original llegó bien y libre
de colisiones.
Otro dispositivo está en ese momento transmitiendo una trama. La
estación tiene que esperar hasta que la trama en progreso se haya
completado. La estación espera un período aleatorio de tiempo para
transmitir su propia trama.
Topologías WLAN
Una red wireless básica no comprende ningún tipo de organización; un PC
con capacidad wireless puede conectarse en cualquier parte y en cualquier
momento. Naturalmente debe existir algo más que permita enviar o recibir
sobre el medio inalámbrico antes de que el PC pueda comunicarse.
En la terminología 802.11 un grupo de dispositivos wireless se llama SSID
(Service Set Identifier), que es una cadena de texto incluida en cada trama que
se envía. Si hay coincidencia entre receptor y emisor se produce el
intercambio. El PC se convierte en cliente de la red wireless y para esto debe
poseer un adaptador inalámbrico y un software que interactúen con los
protocolos wireless.
El estándar 802.11 permite que dos clientes wireless se comuniquen entre sí
sin necesidad de otros medios de red, conocido como red ad-hoc o IBSS
(Independent Basic Service Set). Como muestra la siguiente figura:
No existe control incorporado sobre la cantidad de dispositivos que pueden
transmitir y recibir tramas sobre un medio wireless. También dependerá de la
posibilidad de que agentes externos permitan transmitir a otras estaciones sin
dificultad, lo que hace que proporcionar un medio adecuado wireless sea
difícil.
BSS (Basic Service Set) centraliza el acceso y controla sobre el grupo de
dispositivos inalámbricos utilizando un AP (Access Point) como un
concentrador de la red. Cualquier cliente wireless intentando usar la red tiene
que completar una condición de membresía con el AP. El AP o punto de
acceso lleva a cabo ciertas consideraciones antes de permitir transmitir a la
estación:
EL SSID debe concordar.
Una tasa de transferencia de datos compatible.
Las mismas credenciales de autenticación.
La membresía con el AP se llama asociación, el cliente debe enviar un
mensaje de petición de asociación. El AP utiliza un identificador BSS único
llamado BSSID que se basa en la propia dirección MAC de radio del AP. El
AP permite o deniega la asociación enviando un mensaje de respuesta de
asociación. Una vez asociadas todas las comunicaciones desde y hacia el
cliente pasarán por el AP. Los clientes ahora no pueden comunicarse
directamente con otros sin la intervención del AP.
Un AP puede funcionar como un sistema autónomo y a su vez ser un punto
de conexión hacia una red Ethernet tradicional porque dispone de capacidad
inalámbrica y de cableado. Los AP situados en sitios diferentes pueden estar
conectados entre ellos con una infraestructura de switching. Esta topología
recibe el nombre en el estándar 802.11 ESS (Extended Service Set).
En ESS un cliente puede asociarse con un AP, pero si el cliente se mueve a
una localización diferente puede intercambiarse con otro AP más cercano.
Funcionamiento de un AP
La función primaria del AP es puentear datos wireless del aire hasta una red
tradicional cableada o hacia otra red inalámbrica a través un WGB
(Workgroup Bridge) o ambas conexiones a la vez. Un AP puede soportar
múltiples SSID y aceptar conexiones de un número de clientes wireless de tal
manera que éstos se convierten en miembros de la LAN como si fueran
conexiones cableadas.
Un AP también puede actuar como un bridge formando un enlace
inalámbrico desde una LAN hacia otra en largas distancias. Los enlaces entre
los AP son utilizados normalmente para conectividad entre edificios.
Los AP conectados con antenas direccionales pueden brindar conectividad en grandes distancias
Los AP actúan como un punto central controlando el acceso de los clientes a
la red LAN. Cualquier intento de acceso a la WLAN debe establecer
inicialmente conexión con el AP, quien permitirá un acceso abierto o
restringido según las credenciales de autenticación. Los clientes deben
efectuar un saludo de dos vías antes de asociarse. El AP puede solicitar más
condiciones antes de la asociación, y antes de permitir el acceso al cliente,
como credenciales específicas o volumen de datos.
El AP puede compararse con un mecanismo de traducción donde las tramas
de un medio son enviadas a otro en capa 2; también asocia el SSID a una o
múltiples VLAN.
Cuando la capacidad del enlace inalabrico no está presente en algún
dispositivo, pero sí es posible conectar el dispositivo a una conexión
Ethernet, puede utilizarse un tipo de adaptador WGB (Workgroup Bridge)
para conectar el dispositivo a una red WLAN. Por ejemplo, una impresora
que solo tiene una conexión RJ45 el WGB actúa como un adaptador de red
inalámbrico externo para ese dispositivo que no tiene ninguno.
Celdas WLAN
Un AP puede proporcionar conectividad WLAN solamente a los clientes
dentro de su cobertura, la señal está definida por la emisión que pueda tener
la antena. En un espacio abierto podría describirse como una forma circular
alrededor de la antena omnidireccional. El patrón de ondas emitidas tiene tres
dimensiones, afectando también a los pisos superiores e inferiores de un
edificio.
La ubicación de los AP tiene que estar cuidadosamente planificada para
proporcionar cobertura en toda el área necesaria. El hecho de que los clientes
sean móviles hace que la cobertura de los AP sea diferente a lo que se espera
debido a los objetos que puedan interponerse entre ellos y las antenas.
El área de cobertura del AP se denomina celda. Los clientes dentro de una
celda pueden asociarse con el AP y utilizar libremente la WLAN.
La celda está limitando la capacidad de operación de los clientes a su radio de
cobertura. Para expandir el área total de la cobertura WLAN pueden sumarse
más celdas en zonas cercanas simplemente distribuyendo los AP en dichas
zonas basándose en estándar 802.11 ESS (Extended Service Set). La idea es
que la suma de las celdas pueda cubrir cada una de las áreas donde un cliente
esté localizado.
Los clientes pueden moverse desde una celda AP a otra y sus asociaciones se
van pasando de un AP a otro, mecanismo llamado roaming. Los datos que se
están confiando en un AP una vez que el cliente se mueve de celda deben ser
confiados por el nuevo AP. Esto minimiza la posibilidad de pérdidas de datos
durante el proceso de roaming.
Un buen diseño de una red WLAN intenta aprovechar al máximo la cobertura
de un AP minimizando la cantidad de puntos de acceso necesarios para cubrir
una zona determinada reduciendo a su vez el coste de la instalación. También
es importante recordar que el medio es Half Duplex y que a mayor cantidad
de usuarios menor ancho de banda disponible.
Para entornos seguros el tamaño de la celda se reduce en microceldas o
picoceldas bajando la potencia del AP.
Radiofrecuencia en WLAN
Las comunicaciones por RF (Radiofrecuencia) comienzan con una oscilación
transmitida desde un dispositivo que será recibida en uno o variosdispositivos. Esta oscilación de la señal se basa en una constante llamada
frecuencia. El transmisor y el receptor deben estar en la misma frecuencia
para transmitir la misma señal. Tanto la estación trasmisora como la receptora
tienen un dispositivo transmisor unido a una antena que permite recibir y
transmitir la señal.
Una señal de RF puede ser medida en función de su potencia o energía en
unidades de Watts (W) o miliwatt, que es una milésima parte de un Watt.
Por ejemplo, un teléfono móvil puede tener una potencia aproximada de 200
mW y un punto de acceso WLAN entre 1 y 100 mW.
Un rango de frecuencias se llama banda, como el utilizado en estaciones de
radio de AM (Amplitud Modulada) o FM (Frecuencia Modulada).
Muchas comunicaciones de WLAN ocurren dentro de la banda de 2,4 GHz
comprendido en un rango de 2,412 a 2,484 GHz; mientras que otras utilizan
una banda de 5 GHz en un rango de 5,150 a 5,825 GHz. La banda de 5 GHz
contiene cuatro bandas separadas y distintas:
de 5.150 a 5.250 GHz
de 5.250 a 5.350 GHz
de 5.470 a 5.725 GHz
de 5.725 a 5.825 GHz
La señal emitida por una estación wireless se llama portadora (carrier) es una
señal constante a una determinada frecuencia. Una estación de radio que sólo
transmite la portadora no está emitiendo datos de ningún tipo. Para agregar
información, el transmisor debe modular la portadora para insertar la
información que desea transmitir. Las estaciones receptoras deben revertir el
proceso demodulando la portadora para recuperar la información original.
Los métodos de modulación pueden ser diferentes según hagan variar la
frecuencia o la amplitud de la señal portadora. Las WLAN utilizan unas
técnicas de modulación más complejas porque sus volúmenes de datos son
mayores que los de audio.
El principio de la modulación WLAN es empaquetar tantos datos como sean
posibles dentro de una señal y de esa manera minimizar las posibles pérdidas
por interferencias o ruidos. Cuando los datos se pierden deben ser
retransmitidos utilizando más recursos.
Aunque el receptor espera encontrar la portadora en una frecuencia fija, la
modulación hace que la portadora varíe cada cierto tiempo. Esta variación de
la frecuencia de la portadora se llama canal, a la que se hace referencia con
un tipo de numeración. Los canales WLAN están definidos en el estándar
802.11.
Estándares WLAN
Todos los estándares WLAN están incluidos en las series IEEE 802.11.
Definen la operación de capa 1 y de capa 2, que incluye las frecuencias, los
canales wireless, el rendimiento, la seguridad, la movilidad, etc.
La frecuencia de las WLAN utiliza una banda que no tiene licencias lo que
permite a cualquiera utilizarla sin ningún permiso. Pero existe una regulación
que establece reglas sobre qué frecuencias están disponibles y qué potencias
se pueden utilizar.
Algunas de las agencias reguladoras pueden ser:
Federal Communications Commission (FCC)
Electrical and Electronics Engineers (IEEE)
European Telecommunications Standard Institute (ETSI)
La alianza Wi-Fi
La alianza Wireless Ethernet Compatibility (WECA).
La asociación WLANA
Los estándares IEEE 802.11 están contenidos en la siguiente tabla:
Estándar 2,4GHz 5GHz Velocidad Fecha
802.11 Si No 2 Mbps 1997
802.11b Si No 11 Mbps 1999
802.11a No Si 54 Mbps 1999
802.11g Si No 54 Mbps 2003
802.11n Si Si 600 Mbps 2009
802.11ac No Si 6.93 Gbps 2003
802.11ax Si Si 4x802.11ac 2019
Los clientes inalámbricos y los AP pueden ser compatibles con uno o más
estándares, sin embargo, un cliente y un AP solo pueden comunicarse si
ambos soportan y aceptan usar el mismo tipo de normativa.
ARQUITECTURA WLAN
Tradicionalmente la arquitectura WLAN se centra en los AP. Cada uno de los
AP funciona como un concentrador de su propio BSS dentro de la celda
donde los clientes se localizan para obtener la correspondiente asociación con
el AP. El tráfico desde y hacia cada cliente debe pasar por el AP.
Cada AP debe ser configurado individualmente, aunque puede darse el caso
de que varios utilicen las mismas políticas. Cada AP opera de manera
independiente utilizando su propio canal de RF, la asociación con los clientes
y la seguridad. En síntesis, cada AP es autónomo. Por este último motivo la
gestión de la seguridad en una red wireless puede ser difícil. Cada AP
autónomo maneja sus propias políticas de seguridad, no existe un lugar
común para monitorizar la seguridad, detección de intrusos, políticas de
ancho de banda, etc.
Gestionar las operaciones de RF de varios AP autónomos puede ser también
bastante difícil. Cuestiones como las interferencias, la selección de canales, la
potencia de salida, cobertura, solapamientos y zonas negras pueden ser partes
conflictivas para la configuración de los AP autónomos.
Cisco Wireless Architectures
A medida que la red inalámbrica crece se hace más difícil configurar y
administrar cada AP. Cisco ofrece plataformas de gestión como Cisco Prime
Infrastructure o Cisco DNA Center de donde desde una ubicación
especifica dentro de la empresa es posible administrar la red wireless.
Captura de Pantalla de Cisco Prime Infrastructure
Esta arquitectura cloud-based AP envía y almacena toda la gestión de los AP
en la nube. Esta arquitectura ofrece las siguientes capacidades centralizadas
de tal manera que los dispositivos de la red inalámbrica las reciben
independientemente de donde se encuentren:
Seguridad
Desarrollo
Configuración y Administración
Control y monitorización
Los AP Cisco Meraki están basados en la nube, una vez que se enciendan y
se registren en la nube, se autoconfigurarán. A partir de ese momento se
puede administrar el AP desde el panel de control de la nube Meraki.
Los procesos de tiempo real involucran enviar y recibir las tramas 802.11, las
señales de los AP y los mensajes probe con información de la red. La
encriptación de los datos también se maneja por paquete y en tiempo real. El
AP debe interactuar con los clientes wireless a nivel de capa 2 desde la sub-
capa MAC, estas funciones son parte del hardware del AP. Las tareas de
gestión no son integrales al manejo de tramas sobre señales RF, de esta forma
estas funciones pueden dividirse, facilitando la administración
centralizadamente.
Por lo tanto, cuando las funciones del AP se dividen, se puede elegir un AP
determinado para llevar la a cabo solamente la operación 802.11 en tiempo
real en cuyo caso el AP se llama LAP (Lightweight Access Point). Los LAP
reciben su nombre porque realizan menor cantidad de tareas que un AP
tradicional autónomo. Mientras que las funciones de gestión se llevan a cabo
en el WLC (Wireless LAN Controller) que es común a varios AP. Las
funciones del WLC son la autenticación de usuarios, políticas de seguridad,
administración de canales, niveles de potencia de salida, etc.
Esta división de tareas se conoce como arquitectura split-MAC, donde las
operaciones normales de MAC son separadas en dos ubicaciones distintas,
esto ocurre por cada LAP en la red. Cada uno tiene que unirse a sí mismo con
un WLC de manera que pueda encender y soportar a los clientes wireless. El
WLC se convierte en el concentrador que soporta un número variado de LAP
en la red conmutada.
El proceso de asociación del LAP con el WLC se produce a través de un
túnel para pasar los mensajes relativos a 802.11 y los datos de los clientes.
Los LAP y el WLC pueden estar localizados en la misma subred o VLAN,
pero no tiene que ser siempre así. El túnel hace posible el encapsulado de los
datos entre ambos AP dentro de nuevos paquetes IP. Los datos tunelizados
pueden ser conmutados o enrutados a través de la red del campus según
muestra la siguiente figura:
NOTA:
Los mensajes probe contienen información sobre la red, se envían periódicamente y sirven
para anuncia la presencia de una WLAN y para sincronizar a los miembros del conjunto de
servicios.
El LAP y el WLC utilizan para intercambiar mensajes a través del túnel el
CAPWAP (Control and Provisioning of Wireless Access Points) y lo hacen
de dos modos diferentes:
Mensajes de control CAPWAP, son mensajes utilizadosMais conteúdos dessa disciplina
Aplicações Multimídia e Qos (28)- Aplicações Multimídia e Qos (26)
- Aplicações Multimídia e Qos (25)
- Aplicações Multimídia e Qos (24)
- Aplicações Multimídia e Qos (23)
- Aplicações Multimídia e Qos (19)
- Aplicações Multimídia e Qos (16)
- Aplicações Multimídia e Qos (15)
- Aplicações Multimídia e Qos (12)
- Aplicações Multimídia e Qos (11)
- Aplicações Multimídia e Qos (8)
- Aplicações Multimídia e Qos (7)
- Um dos principais problemas em relação ao IPv4 é o esgotamento do endereço Opção A MAC. Opção B IPX. Opção C NETBEUI. Opção D IP. Opção E SMTP.
- A rede ethernet é um protocolo considerado de qual camada do modelo OSI/ISO? Opção A Camada 3 Opção B Camada 2 Opção C Camada 1 Opção D Camada 7 Opção
- Em qual subcamada da camada de Enlace está representado o endereço físico de um host na rede ethernet? Opção A MAC Opção B UDP Opção C LLC Opção D IP
- Criado por Márcia Angélica Eslabão Oliveira Ebersol em 29/01/2024 De acordo com Melo e Santos, L...]é um exame cauteloso e sistemático das atividad...
- Qual é o conceito de interação verbal? Opções da pergunta 4: É quando mais de dois locutores interagem entre si. É quando o interlocutor semp...
- A comunicação de sinais através de diversos meios requer cuidados técnicos para garantir eficiência e qualidade. Os sinais podem sofrer interferênc...
- A comunicação, seja ela digital ou analógica, desempenha papel essencial na transmissão de dados. Em sistemas analógicos, os sinais são contínuos e...
- A adequação salarial não deve ocorrer apenas por imposições legais. Segundo Chiavenato, ela deve refletir o alinhamento com quais fatores internos ...
- A rede ASI é utilizada em sistemas de automação e consiste em uma rede eficaz e de baixo custo. A comunicação de uma rede do tipo ASI feita entre u...
- Para a rede 192.168.22.0/23, quantos endereços host ou utilizáveis temos? Questão 3Escolha uma opção: a. 127 b. 128 c. 126 d. 254
- O modelo de responsabilidade compartilhada é um conceito fundamental quando consideramos a segurança de ambientes de TI, especialmente ao comparar ...
- A família de protocolos IEEE 802.3 refere-se à(ao): Opções da pergunta 1: a) Roteamento IP em switches camada 3 b) Redes Ethernet cabeadas. c) Impleme
- As práticas alimentares também estão relacionadas a rituais e celebrações culturais. Segundo o material, qual das alternativas representa corretame...
- AP - Caderno de Resolucao de Atividade Pratica - 2023
- AD1 INFORMÁRICA RASCUNHO
